组件简介

维护者	alibaba组织	许可证类型	Apache-2.0
首次发布	2015年5月10日	最新发布时间	2023年8月15日
依赖包	5,081	依赖存储库	117,744
Docker 依赖数	1,494	Docker 下载量	9,591,272

fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

官网：https://alibaba.github.io/fastjson2/

官方仓库地址：https://github.com/alibaba/fastjson2

使用文档：https://github.com/alibaba/fastjson2/blob/main/README.md

参考链接：

https://packages.ecosyste.ms/registries/repo1.maven.org/packages/com.alibaba:fastjson

组件健康度

技术健康度	根据GitHub上的信息，fastjson是一个高性能、易用、功能丰富的JSON库，它可以实现Java对象和JSON字符串之间的相互转换，支持任意复杂的Java对象，包括预先存在的没有源代码的对象。它还提供了一些高级特性，如自定义序列化器、泛型支持、安全模式等。fastjson在服务器端和安卓客户端都有很好的表现，它在一些性能测试中都取得了优异的成绩。
社区健康度	fastjson是由阿里巴巴开发和维护的一个开源项目，它在GitHub上有超过2.7万个星标，是Java类别中最受欢迎的项目之一。它也有很多贡献者和用户，目前有超过130个分支，超过3400个提交，超过1400个问题，超过800个拉取请求。它的社区活跃度很高，经常有新的功能和修复发布。
更新和维护频率	fastjson的更新和维护频率很高，它目前已经发布了2.0.x版本，比1.x版本更快更安全，建议用户升级到最新版本。它的最近一次提交是在2023年8月22日，最近一次发布是在2023年8月15日。它也有一个详细的更新日志，记录了每个版本的变化和改进。
兼容性	该组件与其他项目组件和框架有着良好的兼容性。它可以无缝集成在 Spring 和 JAX-RS 中，也可以在 Kotlin 中使用。它还支持 Java 泛型和自定义对象表示。
文档和支持	该组件有着清晰和详尽的文档，以及提供相应的用户支持和社区交流渠道。它在 GitHub 上有着完整的 wiki 和 FAQ，以及一些示例代码和最佳实践指南。它还有着一个活跃的 issue 和 pull request 系统，以及一个 gitter 聊天室。

综上所述，com.alibaba:fastjson这个组件的健康度很高，它是一个值得信赖和使用的JSON库。

参考链接：

https://github.com/alibaba/fastjson

https://github.com/alibaba/fastjson2

https://github.com/eishay/jvm-serializers/wiki

https://github.com/alibaba/fastjson2/wiki/fastjson_benchmark

https://alibaba.github.io/fastjson2/

许可证解读

Apache License 2.0 是一种开源软件许可证，广泛用于授权开源项目和代码。Apache License 2.0 允许用户自由地使用、修改和分发受许可的软件，而无需支付版权费用或专利费用。它鼓励开发者共享他们的代码，并保护用户的权利。以下是该许可证的一些重要特点：

代码使用权：用户可以自由地使用、复制、修改、合并、发布、分发和销售受许可软件。
版权声明：用户必须在所有源代码副本中保留原始的版权声明、许可证声明和免责声明。
修改代码：如果用户对代码进行了修改，需要清楚标明哪些部分发生了变化，并不能暗示原作者同意这些修改。
商标使用：Apache License 2.0 并未授予使用原软件的任何商标或名称的权利。
专利许可：该许可证授予了在使用、修改或分发受许可软件时相关专利的非独占许可。这意味着如果用户授权其他人使用该软件，相关专利许可也会传递给接收方。
再许可：用户可以将受 Apache License 2.0 许可的代码作为一部分整合到其它开源项目中，并使用不同的许可证授权整个项目。但是，需要在代码中显式地说明使用了 Apache License 2.0 许可的部分。

需要注意的是，Apache License 2.0 并不保证软件没有缺陷或不稳定性，使用该软件的风险由用户自行承担。

许可证原文链接：fastjson2/LICENSE at main · alibaba/fastjson2 (github.com)

组件漏洞版本及修复方案

漏洞编号	漏洞标题	漏洞等级	影响版本	修复版本
MPS-2022-11320	Fastjson < 1.2.83 任意代码执行漏洞	高危	[1.1.15,1.2.83)	1.2.83
MPS-2020-39708	Fastjson <=1.2.68 远程代码执行漏洞	严重	[1.1.15,1.2.69)	1.2.69
MPS-2020-40828	Fastjson < 1.2.67远程命令执行漏洞	高危	[1.1.15,1.2.67)	1.2.67
MPS-2019-28847	Fastjson <= 1.2.60 版本远程代码执行漏洞	严重	(-∞,1.2.61)	1.2.61

组件SBOM

org.springframework:spring-beans	5.3.28	否	maven
net.sourceforge.javacsv:javacsv	2.0	是	maven
org.springframework:spring-messaging	5.3.28	否	maven
org.apache.tomcat.embed:tomcat-embed-core	10.1.10	否	maven
com.google.protobuf:protobuf-java	3.24.0	是	maven
org.springframework:spring-context	6.0.10	否	maven
io.micrometer:micrometer-observation	1.10.8	否	maven
com.fasterxml.jackson.dataformat:jackson-dataformat-yaml	2.15.2	否	maven
jakarta.annotation:jakarta.annotation-api	1.3.5	否	maven
org.jboss.logging:jboss-logging	3.4.1.Final	否	maven
com.google.re2j:re2j	1.6	否	maven
org.springframework.boot:spring-boot-starter-web	2.7.13	是	maven
org.springframework.boot:spring-boot	3.1.1	否	maven
org.springframework.boot:spring-boot-configuration-processor	3.1.1	是	maven
org.springframework:spring-web	6.0.10	否	maven
com.esotericsoftware:reflectasm	1.11.9	否	maven
org.springframework.boot:spring-boot-starter-validation	2.7.13	是	maven
org.apache.tomcat.embed:tomcat-embed-el	9.0.76	否	maven
……