捅娄子了，写个bug被国家信息安全漏洞共享平台抓到了？

若是你以为这篇沙雕文章还算有意思，能够给我一些实际点的支持哦！ 求点赞👍 求关注❤️ 这些对于初来掘金的我来讲真的蛮重要的！创做不易，熬夜辛苦，各位的支持和承认，就是我继续创做的最大动力。

摸不了鱼了

2019 年 11 月 26 日，原本应该是无比平静的一天，开开会，改改bug，摸摸鱼以后等着下班。刷着新闻的间隙，手机的消息提示音响了起来，收到了一条邮件，平时收到邮件我都会选择稍后处理模式继续摸鱼，可是看到邮件标题后，我感受摸鱼是摸不得了，怕不是捅了什么篓子，邮件的标题是这样的：

什么东西？怎么了？我一看到“国家信息安全”几个大字，手里摸的鱼都抓不牢了，我当时真的被唬住了，赶忙点开邮件查看一下我到底作了什么，我真的不知道我干了什么，瞬间进入巨怂模式，屏气凝神不敢说话。

国家信息安全漏洞共享平台的邮件

点开邮件以后，内容以下：

主要文案为：

近日，国家信息安全漏洞共享平台（即中国国家漏洞库，CNVD）接收到报告，获知以下漏洞信息，CNVD-C-2019-195336 Newbee-mall v1.0.0存在SQL注入漏洞。该漏洞经测试，状况属实。现将漏洞状况通报，请贵单位协助作好漏洞分析和处置工做。

国家信息安全漏洞共享平台发现了一处程序漏洞，通知我赶忙处理。

看了邮件内容以后，心情缓和了不少，哎呀，我还觉得你要抢我鸡蛋呢，原来是这个 bug，这个问题其实我早就知道了。虽然如今不是巨怂模式，可是依然有点怂，我很纳闷儿，当时主要有以下几个疑问：

• 这个 bug 并不严重，并且已经修复了，如今这个邮件是什么意思？
• 就是这么一个问题怎么就会被“国家信息安全漏洞共享平台”给捅出来了？
• 这个“国家信息安全漏洞共享平台”是真的吗？怕不是要被骗了吧？

好的，带着这几个问题，摸鱼是摸不下去了，赶忙查一下吧，顺便也问问你们究竟是怎么回事。

前因后果

不少朋友看到这里应该会很好奇，狗十三你到底写了一个什么 bug，还被国家信息安全漏洞共享平台给发现了？

莫慌莫慌，咱们从头讲起，十三带着你们来捋一捋这之中的前因后果。

几个月以前，也就是 2019 年 9 月份的时候，我在 GitHub 开源平台上发布了一个开源项目 newbee-mall，newbee-mall 项目（新蜂商城）是一套电商系统，包括 newbee-mall 商城系统及 newbee-mall-admin 商城后台管理系统，基于 Spring Boot 2.X 及相关技术栈开发，这个开源项目也开源了好几个月，可是由于最近比较忙，我尚未介绍给你们，后续我会整理一些文章来详细地介绍一下这个 Spring Boot 开源商城项目。

以上是事件背景，因为是刚刚开源嘛，确定还有不少小问题还没来得及修复，也所以有一些朋友给我提了一些 issue，其中有一条 issue 内容以下：

这是开源项目 newbee-mall 的第一条 issue，这位朋友给我提的意见是：项目里的部分 SQL 语句存在 SQL 注入的危险。好的，我看到这条 issue 以后就放在那里了，准备在空的时候给修复掉，你们可以从图中看出，这条 issue 是在 2019 年 10 月 20 号提给个人，我也在 10 月 23 号把这个问题给修复而且关掉了这条 issue，本觉得是很小的一件事情，项目有 bug，修复嘛，对吧？

可是后面又出现了一些事情，一些意料以外的事情，并非这封邮件，在这封邮件以前还有一件事情要和你们说一说。

CVE 国际安全漏洞库

来，继续。

刚刚说了“国家信息安全漏洞共享平台”，这是咱们国内的漏洞库，在接到这封邮件以前呢，我发现 newbee-mall 项目的那个 SQL 注入问题已经出如今了 CVE 的官网，也就是国际安全漏洞库也收录了这条 SQL 注入漏洞。

被 CVE 收录这件事情我是怎么发现的呢？

作过开源项目的都知道，在仓库里咱们是能够查看近期项目的访问来源的，也就是你们经过哪些渠道进入到咱们的开源仓库这些都是能够追溯的，大体的页面以下：

分别是网站的 LOGO 以及网址，还有就是经过这个网址的访问统计，我偶尔也会看一些这个页面，关心一下项目的访问状况。某一天呢，我突然发如今这些记录里有一条很陌生很陌生的记录，也就是 CVE 网站的访问记录，并且那几天，每天都有好几条统计记录，其实一开始我也不知道 CVE 是什么，我只是以为这个 LOGO 和网址有些陌生，因而就点进去了。

好的，点进去就发现以前提到的那条 SQL 注入问题被收录到这个网站里了，阿西吧，内容以下：

很搞人心态的是什么呢？我压根儿没理这个东西，由于我以为毕竟是一个小 bug，并且我都已经修掉了，你挂着就挂着吧，老子才不理你呢。对，狗十三就是这么傲娇。

至于当时的心态为何那么傲娇，而收到国内漏洞库邮件的时候差点尿裤子呢？为何反差如此之大？这一切的背后究竟是道德的沦丧，仍是人性的扭曲？

其实都不是，主要由于 CVE 是一个国外站点，我并不熟悉，我也根本没有在乎，并且我真的以为那个 SQL 注入的小 bug 应该不至于搞多大阵仗。

只是这封邮件以后我才想到，早在收到这封邮件的一个月以前呢，国际安全漏洞库也收录了这个漏洞，我还真的是丢人丢到国际上了，真的是有够可笑呢。

国家信息安全漏洞共享平台邮件的后续反馈

好的，我们把视线拉回到 11 月 26 号，我在收到那封邮件以后就带着几个疑问，因而我就把这封邮件的一些内容发给了一些朋友，也发到了本身的 QQ 群里，主要是想了解一下我是否是很危险，又怂了。

折腾了一个多小时吧，也收到了你们不少的信息，最终得出结论，组织是真的，问题也不大，都已经修复了，就别再担忧了。

终于松了一口气。

最终呢，我也给国家信息安全漏洞共享平台回了一封邮件，告诉他们问题已经修复，不用担忧，同时也感谢他们的善意提醒。

事情到了这里，其实已经结束，整理这篇文章的目的也就是供你们摸鱼的时候有点内容能够看看，同时，也了解一下 CVE 和 CNVD 这两个组织，若是有什么问题或者想要了解的事情呢，你们也能够留言给我，你们一块儿讨论讨论。

写在最后

作个小推广，感兴趣的朋友能够看一看，最近我在掘金平台上发布了一本小册《Spring Boot 大型线上商城项目实战教程》（点击该连接或者点击下方图片购买能够优惠 8 折哦）：

小册将围绕 Spring Boot 技术栈，使用的其它技术框架也会兼顾最新技术动向，对知识进行拓展，由浅入深，步步为营，在学习基础的同时也可以掌握必定的开发技巧，不只仅只是学习 Spring Boot 的皮毛，也知晓它的源码设计和内部原理，不只仅只是学习 Spring Boot 的相关技术栈整合，也可以使用 Spring Boot 技术栈搭建一个大型的商城系统，从而让你拥有一个高质量的学习进阶体验。远离 Hello World 项目，让你既可以获得一份完整的实操项目，也可以帮你点满目前炽手可热的 Spring Boot 技术栈，为你的技术深度和薪水职位的提高提供充足的保障。

这是一个商城的实战项目，部分页面预览图以下：

• 首页

• 订单列表

  

感兴趣的朋友能够关注一下。

除注明转载/出处外，皆为做者原创，欢迎转载，但未经做者赞成必须保留此段声明，且在文章页面明显位置给出原文连接，不然保留追究法律责任的权利。

感谢你们的观看，我是十三，文章首发于个人公众号“程序员的小故事”。