+
 新版

fastjson 1.2.79 发布,高性能 JSON 解析器和生成器

fastjson 1.2.79 现已发布,这又是一个 bug fixed 的版本,大家按需升级。主要更新内容如下:

Issues

  1. 修复引入MethodInheritanceComparator导致某些场景序列化报错的问题
  2. 增强JDK 9兼容
  3. 修复JSONArray/JSONObject的equals方法在内部对象map/list相同时不直接返回true的问题

相关链接

更新说明:https://github.com/alibaba/fastjson/releases/tag/1.2.79 

fastjson 1.2.79 发布,高性能 JSON 解析器和生成器
AK_诚
AK_诚
2021-12-21 19:31
好用就行了,毕竟fastjsonAPI比Jackson简单N倍,快不快先不说,关键国产,至于所谓的漏洞基本上都差不多,没达到致命级别的有啥好担心的
回复
举报
c
crystalsis
2021-12-20 11:30
fastjson的根本问题在于,它既不fast,也不json,它的fast是利用了上古Java的一个内存溢出漏洞做的,Java修复漏洞后,就不fast了,它解析的json也不是标准的json,如果用到了非标那块,就既解析不了别的地方生产的json,生成的json别的地方也解析不了。
回复
举报
开源中国合格公民
开源中国合格公民
2021-12-20 10:41
请教个问题,我去了CVE,NVD,以及国家信息安全漏洞平台查了fastjson和Jackson,fastjson的漏洞比Jackson少了10倍,但是大家都又说Jackson安全,这个是怎么评估是否安全的呢?
回复
举报
dwingo
dwingo
2021-12-20 10:52
多数人认为的"安全"是影响力层面的, 而不是数量. 就像Linux的漏洞数量不比Windows少, 但仍然认为Linux更安全.
回复
举报
开源中国合格公民
开源中国合格公民
2021-12-20 10:55
影响力层面指的是漏洞等级高吗?麻烦细说一下,谢谢。
回复
举报
c
crystalsis
2021-12-20 11:41
fastjson的手深得太长,还会出现恶性漏洞反复修反复出现的情况。而且,如果你想简单的数漏洞数量,那应该把每一个漏洞的内容都看一下,看看是不是Java原生的和Json的,毕竟Jackson支持json,xml,yaml,toml,text,csv,protobuf,avro,cbor,properties等常见格式,同时对Joda,Guava,Hibernate,HPPC,JSON-P,JAXB,JAXRS这类常见工具提供直接的支持。
回复
举报
开源中国合格公民
开源中国合格公民
2021-12-20 11:47
我不太懂如何评估,是来请教的,也不是为了捧谁踩谁。还请大佬指点一二。
回复
举报
开源中国合格公民
开源中国合格公民
2021-12-20 12:12
我看了2020年的漏洞记录,几乎都是这种漏洞,
FasterXML jackson-databind 2.x before 2.9.10.4 mishandles the interaction between serialization gadgets and typing, related to com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig (aka ibatis-sqlmap).
回复
举报
dwingo
dwingo
2021-12-20 11:42
我随便写个软件, 没人用没人查, 0漏洞报告, 最安全吗?
回复
举报
开源中国合格公民
开源中国合格公民
2021-12-20 11:44
额,感觉这样讨论就没啥意义了,结束讨论吧!谢谢。
回复
举报
dwingo
dwingo
2021-12-20 11:46
不是没意义, 而是让你思考"安全"有哪些方面, 漏洞数量只是其中之一, 不是决定性的.
回复
举报
开源中国合格公民
开源中国合格公民
2021-12-20 11:49
回复 @dwingo : 漏洞等级上,两个都彼此彼此,从引用数量上,Jackson是fastjson的二到四倍。虽然fastjson没有Jackson的多,但是也不是那种少的可以不考虑的
回复
举报
渐行0渐远
渐行0渐远
2021-12-20 10:23
加油
回复
举报
结晶水何物
结晶水何物
2021-12-20 09:29
为什么总是搞一些用不着的花里胡哨的功能,如果只是单纯的解析标准json,哪有那么多漏洞
回复
举报
OSC_fBjDqk
OSC_fBjDqk
2021-12-20 08:30
fastjson已经放弃不用了,我几乎不关心json的解析效率,安全稳定第一
回复
举报
国产大熊猫
国产大熊猫
2021-12-20 08:39
随着安全检验越来越多,其实速度也不快……
回复
举报
陈雄
陈雄
2021-12-20 09:26
出了安全,修补不更安全。使用起来更放心了
回复
举报
开源中国合格公民
开源中国合格公民
2021-12-20 10:39
请教个问题,大家都说Jackson安全,fastjson不安全,但是我去了CVE,NVD,以及国家信息安全漏洞平台查了这两个软件,fastjson的漏洞比Jackson少了10倍,但是大家都又说Jackson安全,这个是怎么评估是否安全的呢?
回复
举报
你看我像谁
你看我像谁
2021-12-20 11:08
除非你自己写,否则其它几个json漏洞是一样多的,只不过看有人关心没有而已。
回复
举报
开源中国合格公民
开源中国合格公民
2021-12-20 11:09
自己写估计漏洞更多,doge
回复
举报
OSC_fBjDqk
OSC_fBjDqk
2021-12-21 08:26
自己写,有那水平能比人家的强嘛。。。
回复
举报
回复 @
{{ emoji.type }}
{{emojiItem.symbol}}
热门资讯
统信桌面操作系统 V20(1070u5)正式发布!如意玲珑 Linyaps 应用体验跃升!
深度操作系统 · 05/11 16:26
0 评论
双胞胎兄弟被裁后删除 96 个政府数据库
· 05/14 19:33
2 评论
AI 发现潜伏 18 年的 NGINX 高危漏洞:全球三分之一网站面临 RCE 风险
· 前天 10:32
0 评论
停止 Vibe Coding 七个月后,一位开发者决定手写全部代码
· 05/11 10:52
0 评论
curl 之父实测 Anthropic Mythos 模型,扫描 17.6 万 C 代码后仅发现 1 个低危漏洞
· 05/12 16:01
0 评论
在 24GB M4 MacBook 上跑本地大模型:Qwen 3.5-9B 实测 40 tokens/s,支持工具调用
· 05/11 10:44
0 评论
如果 AI 来写代码,为什么还要用 Python?
· 05/12 10:42
0 评论
Linux 游戏性能飙升:Windows API 正成为 Linux 内核原生功能
· 05/14 11:41
0 评论
小米:面向全球 AI 用户免费发放 Token 权益
白开水不加糖 · 05/12 14:40
0 评论
微软要将 WinUI 3 打造为 Windows 的最佳原生 UI 平台
· 05/13 17:27
0 评论
删除一条评论

评论删除后,数据将无法恢复

取消
确定
返回顶部
顶部