尊敬的客户:

苏迪个性化网站集群平台（Webplus Pro）在2017年4月之前部分版本采用了Apache Struts2（以下简称Struts2）框架。

苏迪个性化网站集群平台（Webplus Pro），于2017年4月推出新框架版本。该版本已通过安全等级保护三级测评，并放弃使用Struts2框架。

目前，大量前期采用Struts2框架的用户已平滑升级至新框架版本，在生产环境中经过较长时间的正式运行，其稳定性、可靠性得到了充分的验证。

尚有极少量采用Struts2框架的用户，服务期内如您有升级需要，请联系我们，我们将第一时间安排免费升级服务，协助您“告别Struts2”。

苏迪科技感谢您一直以来对我们的信任。

苏迪科技

2018年8月

风口浪尖的Struts2

Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一，自2007年面世以来被国内外广泛使用。

这个“世界级”开源框架，近几年一直被爆出各种漏洞，采用该框架的信息系统容易被境内外黑客攻击，因未及时修补漏洞而被攻击的安全事件频发。

对于Struts2这个第三方开源框架的使用一直存在争议，一方面因其代码公开，世界范围内研究者众多，可以提升其安全性；另一方面也因为漏洞留给最终用户和厂商时间有限，维护难度越来越大。

告别Struts2，采用新框架

苏迪个性化网站集群平台（Webplus Pro）在2017年4月之前部分版本采用了Apache Struts2（以下简称Struts2）框架。

因Struts2框架带给学校的安全管理压力不断加大，苏迪科技投入力量进行新框架产品的研发。于2017年4月推出苏迪个性化网站集群平台（Webplus Pro）新框架版本。该产品版本全面告别Struts2框架。产品推出后，我们提交至公安部信息安全等级保护评估中心，通过了安全等级保护三级测评。

北京中电众维软件评测中心，依据GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》，参考《Struts2 配置指导V2.3.34》、《Struts2 配置指导V2.5.16》执行测试工作。测试报告显示产品没有使用到Struts2开发框架。

大量验证，免费升级

大量前期采用Struts2框架产品的用户基于政策要求或运维队伍的配置情况考虑，已平滑升级至新框架版本。升级后的系统经过较长生产环境的运行检验，运行稳定。

目前该版本的平滑升级方案、安全性和稳定性都经过了充分的验证。尚有极少量采用Struts2框架的用户，服务期内如您有升级需要，请联系我们，我们将第一时间安排免费升级服务，协助您“告别Struts2”。 

正在使用基于Struts2框架版本的用户，苏迪科技依然提供持续漏洞跟踪和运维服务。一旦发现漏洞，如果尚未有官方补丁发布，那么先利用系统中的拦截器等工具或措施，先保护系统不受影响，在官方补丁发布后进行完全修复。

姜开达老师

上海交通大学网络信息中心副主任

0ops安全战队领队

中国教育科研网上海节点NOC主任

教育行业安全漏洞报告平台负责人

*「安全专题」是苏迪视界推出的小栏目。

“灵感源于实践，科技启迪教育。”

每一期，带来和安全相关的话题。

苏迪科技从成立以来就非常重视安全工作。特别是近几年，苏迪科技在安全建设上投入了越来越多的资源，建立了全面的安全保障体系，以保障系统安全、用户数据安全、隐私安全等。

下一期我们将详细介绍。