最近，关于开源软件color.js和fake.js的作者提交恶意代码导致很多依赖此组件的软件产生问题，下载量和Vue一样大的开源软件被作者恶意破坏，数千款应用受到牵连

一直都说开源软件是一把双刃剑，这次，还真是双刃剑。

不过，开源软件是大势所趋，也不必为个别事件惊慌。正如，概率论理说的，小概率事件必然发生。关键是做好发生时的处理预案即可。

使用开源软件升级时，将相关的功能进行一次全回归测试还是必要的，不能抱有侥幸心理。开源软件是As-IS原则，实现成啥样就是啥样，是不会对因为它造成的损失负责的。这就需要使用者在决定使用一个开源软件时，需要调研好，并且对使用的case做好全面的测试工作。

对于某些有紧急的严重的漏洞时，例如：log4j的RCE漏洞，再决定升级时，如果还进行全面的测试，可能攻击者已经攻进来了。 这里可以结合防御设备，先根据攻击特征更新规则，延迟被攻击的时间，同时，内部如果能够研究透攻击到底是怎么回事，影响范围有哪些，做有针对性地升级即可。

随着敏捷开发和devops的发展，可能测试的全面性难易保证，如果一套自动化的测试验证机制，那会更好。 不过，维护自动化测试的脚本所带来的的工作量又是一个挑战。开源的工具可能不能很好滴满足需求，需要进行针对性地定制。有些商业软件可以提供针对性地定制，不过，价格不菲。 需要结合公司的财力和对安全的重视程度以及安全所带来的的损失进行权衡。