上面这个公号「涩郎」,是我的一个备用号,为了防止万一哪天大号失联,平时一周我也会发三篇左右的我的思考,读书笔记,认知感悟等文章,带领大家一起探索精神与财务自由之路。
大家好,我是校长。
阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位 6 个月。
这件事,并没有大家想象的那么脑洞大开,也没必要诬陷工信部,说工信部不懂开源规则,没有啥开源精神,工信部也没有说只准给我上报或者优先给国家上报。
我看非技术圈的人说:感觉阿里云光通报给阿帕奇基金会和作者,不通报给国家,是没有意识形态,是跟某想一样,迟早是卖国贼之类的,说阿里没有把国家安全放在心上。
也有人说:这波站国家,安全漏洞确实很危险,信息安全至关重要,应该第一时间跟国家报告而不是跟美国吧。
技术圈的人就说:报给工信部,工信部能够修复漏洞吗?
很多程序员说:阿里云被处罚,感觉有点不太对,又说不上来哪里不对。
我感觉这个没啥好讨论的,因为:一,没必要上升到国家意识形态层面来讨论,没大家想象的那么严重;二,阿里云被罚也不冤。
原因很简单,在 2021 年 7 月 12 日,工信部、网信办和公安部联合下发的《关于印发网络产品安全漏洞管理规定的通知》中就做出过明确的规定。
在其中第七条当中的第一项和第二项规定当中说:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
你看,规定写的是:当发现安全漏洞的时候,要第一时间上报给产品提供者,然后是 2 日内上报给工信部网络安全威胁和漏洞信息共享平台。
阿里云既然是工信部网络安全威胁和漏洞信息共享平台的合作单位,有义务,也有责任向工信部上报这个漏洞,然后,阿里云却没有,所以被处罚了。
这个工信部建立的共享信息平台目的就是当发现漏洞之后,上报给平台之后,平台可以向所有的合作单位发出预警,预防因此而带来的网络安全问题,防止信息泄露,威胁企业乃至国家安全。
如果合作单位都像阿里云一样,不上报,网络安全威胁和漏洞信息共享平台还有啥意义呢?
这个网络安全威胁和漏洞信息共享平台建立的目的不就是维护网络安全嘛。
所以,这个件事跟第一时间通报给国外的阿帕奇基金会没关系,并不是因此受罚,而是你作为合作单位,既然加入了网络安全威胁和漏洞信息共享平台,你就得负起责任,因为你没负责,所以才被罚的。
