阿里云被工信部處罰

我是盧松松，點點上面的頭像，歡迎關(guān)注我哦！

阿里云在11月發(fā)現(xiàn)了Apache(阿帕奇)史上盡可能最嚴(yán)重的漏洞，但卻沒有國內(nèi)主管部門工信部報告，而是首先向美國的Apache軟件基金匯報了此問題。最后工信部是從網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)得到的消息。

阿里云給美國的開源組織上報完了，卻把工信部扔下了，屬于嚴(yán)重的不合作行為，被工信部暫停合作單位資格6個月。

根據(jù)阿里云與工信部合作要求：發(fā)現(xiàn)漏洞兩日內(nèi)報告給工信部。暫停合作是因為沒及時匯報，規(guī)定寫得很清楚要2日內(nèi)報告。而不是因為發(fā)現(xiàn)漏洞。有功夫給apache報，沒功夫給國家報?

發(fā)現(xiàn)漏洞，本應(yīng)該是好事，怎么阿里云還被罰了，其實，行業(yè)內(nèi)都是這么做的，反過來想一想，為什么不是華為，不是360，騰訊發(fā)現(xiàn)這樣的漏洞，而是阿里云，至少證明了阿里云的技術(shù)是可以的。

據(jù)觀察者網(wǎng)報道，2021年11月24日，阿里云團(tuán)隊發(fā)現(xiàn)了著名Web服務(wù)器軟件Apache下的開源日志組件Log4j內(nèi)，有一個嚴(yán)重漏洞Log4Shell，該漏洞可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器，有網(wǎng)絡(luò)安全專家認(rèn)為，該漏洞潛在危害極大，可能是“計算機(jī)史上最大漏洞”。

因為存在于Java日志框架的Log4j，被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服備，幾乎每個網(wǎng)絡(luò)安全系統(tǒng)都會利用一些日志框架進(jìn)行紀(jì)錄，Log4j一旦出現(xiàn)漏洞 ，影響范圍，將是世界級的，截止目前，包括蘋果、三星、steam、亞馬遜和推特等在內(nèi)的巨頭皆受到攻擊或潛在攻擊風(fēng)險。

阿里云團(tuán)隊提交該漏洞后，Apache軟件基金會已將這一漏洞的業(yè)重性列為最高的10級，網(wǎng)安公司Tenable相關(guān)負(fù)責(zé)人直言，Log4Shell是“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”。

阿里這事就是典型的技術(shù)思維不講政治，技術(shù)人員其實思路沒問題，先報給開發(fā)商，等待開發(fā)商修復(fù)。但是阿里的人忘記了他是中國公司，他應(yīng)遵守中國的法律法規(guī)，就跟美國企業(yè)為啥放著錢不賺不賣芯片給你中國人?違反了工信部的規(guī)定挨罰那是活該。何況是在中美關(guān)系這么緊張的當(dāng)下。

科技無國界，但安全有國界，跟大敵當(dāng)前，發(fā)現(xiàn)敵情卻不報，偷摸后撤沒有兩樣。至于有人罵工信部豬頭，沒能力發(fā)現(xiàn)安全漏洞，完全是混淆視聽。

文章來源：盧松松博客，歡迎關(guān)注我的帳號哦！