信息來(lái)源：OSCHINA

對(duì)于開(kāi)發(fā)者而言，Stack Overflow 和 GitHub 是最為熟悉不過(guò)的兩大平臺(tái)，這些平臺(tái)充斥著大量開(kāi)源項(xiàng)目信息和解決各類(lèi)問(wèn)題的代碼片段。而就在近日，Palantir的 Java 開(kāi)發(fā)人員，也是 StackQflow（與編程相關(guān)的問(wèn)題的問(wèn)答網(wǎng)站）中排名最高的參與者之一  Andreas Lundblad 卻承認(rèn)，一段自己十年前寫(xiě)的代碼，也是 Stack Overflow 上復(fù)制次數(shù)最多、傳播范圍最廣的代碼段均包含一個(gè)錯(cuò)誤。

據(jù)悉，2018年發(fā)表的一篇學(xué)術(shù)論文確定了在網(wǎng)站上發(fā)布的代碼片段 Lundblad 是從 StackOverflow 提取的復(fù)制最多的 Java 代碼，然后在開(kāi)源項(xiàng)目中重復(fù)使用。

該代碼段以人類(lèi)可讀格式（例如 123.5 MB）打印了字節(jié)數(shù)（123,456,789 字節(jié)）。學(xué)者發(fā)現(xiàn)，此代碼已被復(fù)制并嵌入到 6,000 多個(gè) GitHub Java 項(xiàng)目中，比其他任何 StackOverflow Java 代碼段都多。

而在上周發(fā)布的博客文章中，Lundblad 則承認(rèn)，該代碼存在缺陷，并且錯(cuò)誤地將字節(jié)數(shù)轉(zhuǎn)換為人類(lèi)可讀的格式。他表示，在學(xué)習(xí)了學(xué)術(shù)論文及其結(jié)果之后，已重新審視了代碼。同時(shí)再次查看了該代碼，并在其博客上發(fā)布了更正的版本。

STACKOVERFLOW 代碼有時(shí)包含安全性錯(cuò)誤

據(jù)了解，盡管 Lundblad 的代碼段是存在一個(gè)瑣碎的轉(zhuǎn)換錯(cuò)誤，僅導(dǎo)致文件大小估計(jì)稍有不準(zhǔn)確，但情況或許可能會(huì)更糟。例如，該代碼可能包含安全漏洞。如果這樣做的話，那么修復(fù)所有易受攻擊的應(yīng)用程序?qū)⒒ㄙM(fèi)數(shù)月甚至數(shù)年，使用戶容易受到攻擊。

事實(shí)上，即使普遍認(rèn)為從 StackOverflow 復(fù)制粘貼代碼是一個(gè)壞主意，但開(kāi)發(fā)人員還是一直這樣做。

2018 年的研究論文顯示了這種做法在 Java 生態(tài)系統(tǒng)中的普及程度，并揭示了復(fù)制流行的 StackOverflow 答案的絕大多數(shù)開(kāi)發(fā)人員甚至都沒(méi)有理會(huì)其來(lái)源。

從 StackOverflow 復(fù)制代碼但沒(méi)有署名的軟件開(kāi)發(fā)人員，實(shí)際上對(duì)其他編碼人員隱藏了他們已經(jīng)在項(xiàng)目?jī)?nèi)部引入未經(jīng)審查的代碼的情況。

這聽(tīng)起來(lái)像是一個(gè)過(guò)于警惕的聲明，但在 2019 年 10 月發(fā)表的另一項(xiàng)學(xué)術(shù)研究項(xiàng)目顯示，StackOverflow 代碼段確實(shí)包含漏洞。該研究論文在過(guò)去十年中在 StackOverflow 上發(fā)布的 69 種最流行的 C ++ 代碼片段中發(fā)現(xiàn)了主要的安全漏洞。

研究人員透露，他們?cè)诳偣?2859 個(gè) GitHub 項(xiàng)目中發(fā)現(xiàn)了這 69 個(gè)易受攻擊的代碼片段，顯示了一個(gè)錯(cuò)誤的 StackOverflow 答案如何對(duì)整個(gè)開(kāi)源應(yīng)用生態(tài)系統(tǒng)造成破壞。