【开源】一些开源框架的应用情况

Struts2

12月10日，网传疑似京东12GB用户数据被黑产明码标价售卖，而京东在12月10日当晚通过官方公众号《京东黑板报》对于数据泄露进行了及时回应：表示这部分数据失窃可能源于2013年7月Struts2安全漏洞时间，该漏洞在三年前内发现后就被京东修复，已对可能受影响用户做过了安全升级提示，目前仅有极少部分未进行账号安全升级的用户可能会受到影响。

在2013年7月，Apache基金会旗下的Struts，在发现了一处安全漏洞之后并没有像行业通行的发出漏洞警告，而是非常轻率和儿戏地放出了该漏洞的源代码，这就相当于把网络安全的病灶公之于众，即便水平低下的黑客也能知道网络防御的软肋，这使得很多技术很普通的的黑客，也能利用Struts 2安全漏洞相对轻松地获取网络上的各类数据。

Struts2 是什么？

Struts2是apache项目下的一个web 框架，普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。

Sturts2安全漏洞

在2013年6月底发布的Struts 2.3.15版本被曝出存在重要安全漏洞主要问题如下：

1. 可远程执行服务器脚本代码
   用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘command’,’goes’,’here’})).start()}链接，command goes here可以换成是破坏脚本的路径和参数，比如fdisk -f等，造成破环系统无法运行的目的。

2. 重定向漏洞
   用户可以构造如知名网站淘宝的重定向连接，形如打折新款,引导用户点击后进入钓鱼网站，在界面上让其进行登陆用以获取用户的密码。

Sturts2安全漏洞影响以及措施

苹果、中国移动、中国联通、百度、腾讯、淘宝、京东、Sohu、民生银行等大型企业的网站均遭毒手，运维　工程师苦不堪言。
Apache团队紧急发布了Struts 2.3.15.1安全更新版本,可升级到此版本来解决上述问题。

Docker

Docker 是 PaaS 提供商 dotCloud 开源的一个基于 LXC 的高级容器引擎，源代码托管在 Github 上, 基于go语言并遵从Apache2.0协议开源。

Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口（类似 iPhone 的 app）。几乎没有性能开销,可以很容易地在机器和数据中心中运行。最重要的是,他们不依赖于任何语言、框架或包装系统。

哪些公司在用

京东：http://www.infoq.com/cn/news/2015/06/jd-618-docker
美团：http://occ.csdn.net/
雪球：http://www.infoq.com/cn/presen … ueqiu
芒果TV：http://dockone.io/article/355
新浪微：http://www.infoq.com/cn/articl … share
腾讯内部：http://www.infoq.com/cn/articl … ctice
阿里巴巴：http://www.infoq.com/cn/news/2 … ocker

具体应用

京东：

系统架构可以这样简洁定义：**弹性计算云 = 软件定义数据中心 + 容器集群调度。整个项目分成两层架构，底层为基础平台，系统名JDOS，通过『OpenStack married with Docker』来实现基础设施资源的软件管理，Docker取代VM成为一等公民，但这个系统目标是统一生产物理机、虚拟机与轻量容器；上层为应用平台，系统名CAP，集成部署监控日志等工具链，实现『无需申请服务器，直接上线』，并进行业务特定的、数据驱动的容器集群调度与弹性伸缩。
弹性计算云具备很多优势：非常便捷的上线部署、半自动或全自动的扩容。Docker这样的操作系统级虚拟化技术，启动速度快，资源消耗低，非常适合私有云建设。
2015年618，是京东弹性计算云第一次大促亮相，支持了有很多业务的流量。比如图片展现80%流量、单品页50%流量、秒杀风控85%流量、虚拟风控50%流量，还有三级列表页、频道页、团购页、手机订单详情、配送员主页等等，还有全球购、O2O等新业务。特别是，今年618作战指挥室大屏监控系统都是部署在弹性云上的。

阿里：

淘宝应用引擎TAE是国内较早规模化使用Docker的PaaS平台，它最近推出了2.0版，作为阿里百川项目的一部分对外开放。阿里百川是阿里巴巴集团无线开放平台，为移动开发者（涵盖移动创业者）提供快速搭建APP、加速APP商业化、提升用户体验的解决方案。
TAE（Taobao App Engine），同时带有安全，受控容器的特点。2014年起，为了更好的服务到阿里百川的移动开发者，TAE基于Docker容器技术的升级，针对移动开发者团队小，迭代快的特点，推出TAE 2.0全架构PaaS，从开发者的系统构建，代码发布到系统运维管理一整套的解决方案。
TAE诞生于淘宝店铺开放业务，之前一直在服务淘系内部业务，比如优站，微淘插件，手淘开放等业务，开发者主要的使用场景就是Web+数据库的两层结构。而百川移动开发者，往往是三层结构甚至N层结构。原来的Web PaaS很难满足用户了。另外我们发现，现在的移动初创团队，团队小，迭代快，他们迫切需要有一套系统能够像PaaS一样去运维他们的生产环境，但是不希望为了使用PaaS而修改自己的代码，并且有IaaS的灵活性。基于这样的需求，所以我们比较自然的想到到了用 PaaS + Container based IaaS的方案来满足用户需求，这个正好和Docker的的特点比较吻合，所以我们选择了Docker。
TAE是从去年8月份开始尝试使用Docker技术的，经过了近1年的产品化和实际使用，目前已经比较稳定了，我们计划七月份正式对外公测。从产品和技术的应用来讲，TAE算是比较早的规模化使用Docker的PaaS平台。
我们在容器的网络，存储，安全上都做了很大的优化和调整：
在安全上，我们已经比较好的解决了Container的多租户问题，通过三层安全防护体系来保证用户的多租户安全。
在网络虚拟化上，TAE底层是阿里云的ECS，为了解决Docker容器的网络互通，我们和阿里云的VPC（Virtual Private Cloud）团队做了很多网络虚拟化的共建，利用VPC来支持Docker的网络虚拟化。
在存储虚拟化上，基于阿里云底层的盘古分布式存储，我们可以给Docker提供高可用的分布式磁盘产品。
另外，Docker现在发展得非常快，在存储，网络，热迁移，系统稳定性上，还有大量的问题需要解决。我们在解决Docker的网络性能，Docker Daemon的稳定性等方面，我们做了很多工作。针对不同的镜像服务我们提供了很多产品化的功能，比如Web服务的多环境发布，存储服务的主备同步和切换，配置文件的可视化管理，容器日志收集，Docker Web镜像Build环境等。