捅婁子了，寫個bug被國家信息安全漏洞共享平臺抓到了？

若是你以爲這篇沙雕文章還算有意思，能夠給我一些實際點的支持哦！ 求點贊👍 求關注❤️ 這些對於初來掘金的我來講真的蠻重要的！創做不易，熬夜辛苦，各位的支持和承認，就是我繼續創做的最大動力。

摸不了魚了

2019 年 11 月 26 日，原本應該是無比平靜的一天，開開會，改改bug，摸摸魚以後等着下班。刷着新聞的間隙，手機的消息提示音響了起來，收到了一條郵件，平時收到郵件我都會選擇稍後處理模式繼續摸魚，可是看到郵件標題後，我感受摸魚是摸不得了，怕不是捅了什麼簍子，郵件的標題是這樣的：

什麼東西？怎麼了？我一看到「國家信息安全」幾個大字，手裏摸的魚都抓不牢了，我當時真的被唬住了，趕忙點開郵件查看一下我到底作了什麼，我真的不知道我幹了什麼，瞬間進入巨慫模式，屏氣凝神不敢說話。

國家信息安全漏洞共享平臺的郵件

點開郵件以後，內容以下：

主要文案爲：

近日，國家信息安全漏洞共享平臺（即中國國家漏洞庫，CNVD）接收到報告，獲知以下漏洞信息，CNVD-C-2019-195336 Newbee-mall v1.0.0存在SQL注入漏洞。該漏洞經測試，狀況屬實。現將漏洞狀況通報，請貴單位協助作好漏洞分析和處置工做。

國家信息安全漏洞共享平臺發現了一處程序漏洞，通知我趕忙處理。

看了郵件內容以後，心情緩和了不少，哎呀，我還覺得你要搶我雞蛋呢，原來是這個 bug，這個問題其實我早就知道了。雖然如今不是巨慫模式，可是依然有點慫，我很納悶兒，當時主要有以下幾個疑問：

• 這個 bug 並不嚴重，並且已經修復了，如今這個郵件是什麼意思？
• 就是這麼一個問題怎麼就會被「國家信息安全漏洞共享平臺」給捅出來了？
• 這個「國家信息安全漏洞共享平臺」是真的嗎？怕不是要被騙了吧？

好的，帶着這幾個問題，摸魚是摸不下去了，趕忙查一下吧，順便也問問你們究竟是怎麼回事。

前因後果

不少朋友看到這裏應該會很好奇，狗十三你到底寫了一個什麼 bug，還被國家信息安全漏洞共享平臺給發現了？

莫慌莫慌，咱們從頭講起，十三帶着你們來捋一捋這之中的前因後果。

幾個月以前，也就是 2019 年 9 月份的時候，我在 GitHub 開源平臺上發佈了一個開源項目 newbee-mall，newbee-mall 項目（新蜂商城）是一套電商系統，包括 newbee-mall 商城系統及 newbee-mall-admin 商城後臺管理系統，基於 Spring Boot 2.X 及相關技術棧開發，這個開源項目也開源了好幾個月，可是由於最近比較忙，我尚未介紹給你們，後續我會整理一些文章來詳細地介紹一下這個 Spring Boot 開源商城項目。

以上是事件背景，因爲是剛剛開源嘛，確定還有不少小問題還沒來得及修復，也所以有一些朋友給我提了一些 issue，其中有一條 issue 內容以下：

這是開源項目 newbee-mall 的第一條 issue，這位朋友給我提的意見是：項目裏的部分 SQL 語句存在 SQL 注入的危險。好的，我看到這條 issue 以後就放在那裏了，準備在空的時候給修復掉，你們可以從圖中看出，這條 issue 是在 2019 年 10 月 20 號提給個人，我也在 10 月 23 號把這個問題給修復而且關掉了這條 issue，本覺得是很小的一件事情，項目有 bug，修復嘛，對吧？

可是後面又出現了一些事情，一些意料以外的事情，並非這封郵件，在這封郵件以前還有一件事情要和你們說一說。

CVE 國際安全漏洞庫

來，繼續。

剛剛說了「國家信息安全漏洞共享平臺」，這是咱們國內的漏洞庫，在接到這封郵件以前呢，我發現 newbee-mall 項目的那個 SQL 注入問題已經出如今了 CVE 的官網，也就是國際安全漏洞庫也收錄了這條 SQL 注入漏洞。

被 CVE 收錄這件事情我是怎麼發現的呢？

作過開源項目的都知道，在倉庫裏咱們是能夠查看近期項目的訪問來源的，也就是你們經過哪些渠道進入到咱們的開源倉庫這些都是能夠追溯的，大體的頁面以下：

分別是網站的 LOGO 以及網址，還有就是經過這個網址的訪問統計，我偶爾也會看一些這個頁面，關心一下項目的訪問狀況。某一天呢，我突然發如今這些記錄裏有一條很陌生很陌生的記錄，也就是 CVE 網站的訪問記錄，並且那幾天，每天都有好幾條統計記錄，其實一開始我也不知道 CVE 是什麼，我只是以爲這個 LOGO 和網址有些陌生，因而就點進去了。

好的，點進去就發現以前提到的那條 SQL 注入問題被收錄到這個網站裏了，阿西吧，內容以下：

很搞人心態的是什麼呢？我壓根兒沒理這個東西，由於我以爲畢竟是一個小 bug，並且我都已經修掉了，你掛着就掛着吧，老子纔不理你呢。對，狗十三就是這麼傲嬌。

至於當時的心態爲何那麼傲嬌，而收到國內漏洞庫郵件的時候差點尿褲子呢？爲何反差如此之大？這一切的背後究竟是道德的淪喪，仍是人性的扭曲？

其實都不是，主要由於 CVE 是一個國外站點，我並不熟悉，我也根本沒有在乎，並且我真的以爲那個 SQL 注入的小 bug 應該不至於搞多大陣仗。

只是這封郵件以後我纔想到，早在收到這封郵件的一個月以前呢，國際安全漏洞庫也收錄了這個漏洞，我還真的是丟人丟到國際上了，真的是有夠可笑呢。

國家信息安全漏洞共享平臺郵件的後續反饋

好的，我們把視線拉回到 11 月 26 號，我在收到那封郵件以後就帶着幾個疑問，因而我就把這封郵件的一些內容發給了一些朋友，也發到了本身的 QQ 羣裏，主要是想了解一下我是否是很危險，又慫了。

折騰了一個多小時吧，也收到了你們不少的信息，最終得出結論，組織是真的，問題也不大，都已經修復了，就別再擔憂了。

終於鬆了一口氣。

最終呢，我也給國家信息安全漏洞共享平臺回了一封郵件，告訴他們問題已經修復，不用擔憂，同時也感謝他們的善意提醒。

事情到了這裏，其實已經結束，整理這篇文章的目的也就是供你們摸魚的時候有點內容能夠看看，同時，也瞭解一下 CVE 和 CNVD 這兩個組織，若是有什麼問題或者想要了解的事情呢，你們也能夠留言給我，你們一塊兒討論討論。

寫在最後

作個小推廣，感興趣的朋友能夠看一看，最近我在掘金平臺上發佈了一本小冊《Spring Boot 大型線上商城項目實戰教程》（點擊該連接或者點擊下方圖片購買能夠優惠 8 折哦）：

小冊將圍繞 Spring Boot 技術棧，使用的其它技術框架也會兼顧最新技術動向，對知識進行拓展，由淺入深，步步爲營，在學習基礎的同時也可以掌握必定的開發技巧，不只僅只是學習 Spring Boot 的皮毛，也知曉它的源碼設計和內部原理，不只僅只是學習 Spring Boot 的相關技術棧整合，也可以使用 Spring Boot 技術棧搭建一個大型的商城系統，從而讓你擁有一個高質量的學習進階體驗。遠離 Hello World 項目，讓你既可以獲得一份完整的實操項目，也可以幫你點滿目前熾手可熱的 Spring Boot 技術棧，爲你的技術深度和薪水職位的提高提供充足的保障。

這是一個商城的實戰項目，部分頁面預覽圖以下：

• 首頁

• 訂單列表

  

感興趣的朋友能夠關注一下。

除註明轉載/出處外，皆爲做者原創，歡迎轉載，但未經做者贊成必須保留此段聲明，且在文章頁面明顯位置給出原文連接，不然保留追究法律責任的權利。

感謝你們的觀看，我是十三，文章首發於個人公衆號「程序員的小故事」。