Java核弹级漏洞爆发

        最近IT圈被爆出的log4j2漏洞闹的沸沸扬扬，log4j2作为一个优秀的java程序日志监控组件，被应用在了各种各样的衍生框架中，同时也是作为目前java全生态中的基础组件之一，这类组件一旦崩塌将造成不可估量的影响。

从Apache Log4j2 漏洞影响面查询的统计来看，影响多达60644个开源软件，涉及相关版本软件包更是达到了321094个。而本次漏洞的触发方式简单，利用成本极低，可以说是一场java生态的‘浩劫’。

        而由于java库之间存在相互调用，甚至相互依赖的情况，有很多开源主流的java库在打包时已经将log4j2打包到了自己的库中。因此受影响的不仅仅是程序中显式调用过log4j2这个库的程序，有的调用了其他第三方库的程序也可能会中招，更加可怕的是，有很多第三方库已经停止维护了，作者不会由于log4j2爆出漏洞重新更新自己已经停更了的库函数。因此即使你自己的程序没有引入log4j2这个库也难保你的程序不会存在log4j2漏洞，除非你的java程序没有引入任何第三方库，否则就不能保证是100%安全，所以这次的事件被媒体比喻为核弹级漏洞。

沃航科技不受影响

        早在沃航科技成立之初，就对各种技术选型进行了评估，根据语言的易学性，易用性，功能，性能，源码安全，是否收费5个方向综合考虑，最后选择了golang语言作为公司主流的后端开发语言。因此凑巧避免了这次的事件对公司的影响。下面我就通过上述4个方面分析下go语言的优势。

易学性：

Java中，类，继承，接口，不规范的Lambda语法本身已经提高了语言的复杂度。同时java中主流的开发模型，springmvc中，复杂的spring规则，mybatis语法都大大增加了java的入门门槛，从一个完全不会java的小白变成一个能做事情的java程序员，至少需要3个月的学习时间。

go语言的定位是像C语言一样，用最基本的语法完成事情，所以不像java中有那么多的概念，他的概念仅仅比C语言多一点，不存在类，继承，接口等概念，只有简单易学的结构体。并且官方自带的net/http，encoding/json，logs这些官方库已经可以完成java那庞大的springmvc框架中最实用的部分功能了。

易用性：

Java开发完成的程序后缀是jar，需要在客户端电脑上安装一个叫做jre的运行环境，否则无法运行。而安装这类运行环境对于不懂编程的普通用户来说根本就不会操作。因此如果希望自己的程序大范围分发，就会遇到普通用户难以使用的巨大困难。

go语言编译出来的各个平台的软件都是可直接运行的单文件，不需要任何依赖，将生成的文件发给客户，客户直接双击运行就能工作，不需要任何额外的其他操作，对于普通的用户，使用非常方便。

功能：

java与go语言两者功能类似，基本java能做的，go语言都能做，因此两者功能方面没有什么差异。

性能：

java默认的io模型是同步阻塞IO，默认情况下java的并发连接数量只有2000左右，并且由于java语言为解释型语言，计算性能与内存消耗也会比较高。

go语言的默认io模型为异步非阻塞IO，天生就支持高并发，一个go语言的初学者，用最基础的使用方式就能轻松写出支持百万并发的服务端程序，并且作为编译型语言，计算性能与内存消耗也是极低的。

源码安全：

java作为解释型语言，它的所有平台都是执行一套中间代码，因此只要了解中间代码的编译逻辑，都能反编译java语言生成的执行文件。以前小编自己也用过JD-GUI来反编译java的中间代码呢。

go语言则是直接将源码编译为二进制的机器语言，且生成的文件可以不带任何调试信息，目前还没有任何手段能对其反编译。

是否收费：

java目前的标准引导者依旧是oracle公司，但是oracle公司的官方java运行环境从java8u122版本之后就不再支持免费商用了，而截至本文章，最新的java已经到达了17，java8已经是好几年前的东西了。虽然也有不少第三方java虚拟机实现，但是由于都不是标准引导者，所以对java语法与新特性的支持上，都不会有oracle官方靠得住。

go语言不仅仅是一门免费的语言，而且官方还提供go语言的源代码，也就是说go语言还是一门开源的语言。且go语言的开发者google也承若该语言可以免费用于商业活动，因此完全不需要考虑费用问题。

        沃航科技作为专注于技术的高科技企业，会从各个方面为客户考虑，所使用技术先进，成本低廉，且承若无版权纠纷。且由于并未使用java语言，因此本次的Log4j2核弹级漏洞不会发生在沃航科技的软件产品中，亲爱的客户们可以大胆的使用。

文章作者：沃航科技