[alibaba/fastjson]出一个去掉 autoType 的版本吧

autoType已经是缺省关闭的，如果没有显式打开autoType，黑名单不完整的问题不会受影响啊

-Dfastjson.parser.autoTypeSupport=true或者代码开启 这样才会开启 默认关闭其实不升级没关系的吧

我也没用 autoType 的特性，也是关闭的。但是因为 autoType 的有多种开启方式，无法准确检测到是否开启。因此公司安全部门很有可能禁用 fastjson，已经发了通知更换 gson，但是目前并不强制。再来一个绕过就不好说了。黑名单是拦不完的，总会存在绕过的可能，所以我觉得还不如出一个不支持 autoType 的版本。

升级是安全合规要求，即便没开 autoType ，因为安全部门无法证明所有的低于1.2.61的都没开 autoType，只能要求升级。升级涉及太多部门的太多项目，实在费劲。短短几天连发两个补丁，再来一个补丁估计就要求强制替换了。

也有道理 不同公司安全部门审核确实可能要求不一致 也说不准这个autotype可能会被某个漏洞影响导致被打开了

是不是可以考虑autotype单独以扩展包存在 功能剥离出来 不想用就不引入

有道理，拆分是个好主意

现在公司大佬逼着我改了份没有autotype的fastjson版本，如果后面还有问题，就强制迁gson。。。

问题来了 改成Gson了吗

这次1.2.67和华为云放出的黑名单还有遗漏的问题，成功让我们部门放弃fastjson了，之前有个大部分已经封装好了gson，这次安全部准备全公司推广了。。。

自己维护一个私有分支，去掉DefaultConfig中关于autotype的一切处理

On Mon, Mar 23, 2020 at 9:03 PM 祁晓波 notifications@github.com wrote:

听说1.2.69出来了，这下真的无了 ?

彻底改成gson了