Jar 组件自动化风险监测和升级实践
----
曾兆祜
2018 年 5 月加入去哪儿网,现负责基础安全攻防平台的开发建设以及日常的安全运营工作
----
背景
以 Xstream、Jackson、Fasjson 等为代表的 Jar 组件高危漏洞层出不穷,安全组每年 N 次推动业务线进行第三方 Jar 组件升级,每次升级动辄涉及成百上千个应用服务,给双方都带来了沉重的负担。为了降低安全组在 Jar 组件升级期间的工作量,同时尽量给业务线减负,Qunar 安全组在 Jar 组件自动化风险监测和升级上进行了大量实...