阿里雲被工信部處罰

我是盧鬆鬆，點點上面的頭像，歡迎關注我哦！

阿里雲在11月發現了Apache(阿帕奇)史上儘可能最嚴重的漏洞，但卻沒有國內主管部門工信部報告，而是首先向美國的Apache軟體基金彙報了此問題。最後工信部是從網路安全專業機構得到的訊息。

阿里雲給美國的開源組織上報完了，卻把工信部扔下了，屬於嚴重的不合作行為，被工信部暫停合作單位資格6個月。

根據阿里雲與工信部合作要求：發現漏洞兩日內報告給工信部。暫停合作是因為沒及時彙報，規定寫得很清楚要2日內報告。而不是因為發現漏洞。有功夫給apache報，沒功夫給國家報?

發現漏洞，本應該是好事，怎麼阿里雲還被罰了，其實，行業內都是這麼做的，反過來想一想，為什麼不是華為，不是360，騰訊發現這樣的漏洞，而是阿里雲，至少證明了阿里雲的技術是可以的。

據觀察者網報導，2021年11月24日，阿里雲團隊發現了著名Web伺服器軟體Apache下的開源日誌元件Log4j內，有一個嚴重漏洞Log4Shell，該漏洞可以讓網路攻擊者無需密碼就能訪問網路伺服器，有網路安全專家認為，該漏洞潛在危害極大，可能是“計算機史上最大漏洞”。

因為存在於Java日誌框架的Log4j，被廣泛應用於各種應用程式和網路服備，幾乎每個網路安全系統都會利用一些日誌框架進行紀錄，Log4j一旦出現漏洞 ，影響範圍，將是世界級的，截止目前，包括蘋果、三星、steam、亞馬遜和推特等在內的巨頭皆受到攻擊或潛在攻擊風險。

阿里雲團隊提交該漏洞後，Apache軟體基金會已將這一漏洞的業重性列為最高的10級，網安公司Tenable相關負責人直言，Log4Shell是“過去十年內最大也是最關鍵的單一漏洞”。

阿里這事就是典型的技術思維不講政治，技術人員其實思路沒問題，先報給開發商，等待開發商修復。但是 阿里的人忘記了他是中國公司，他應遵守中國的法律法規，就跟美國企業為啥放著錢不賺不賣晶片給你中國人?違反了工信部的規定挨罰那是活該。何況是在中美關係這麼緊張的當下。

科技無國界，但安全有國界，跟大敵當前，發現敵情卻不報，偷摸後撤沒有兩樣。至於有人罵工信部豬頭，沒能力發現安全漏洞，完全是混淆視聽。

文章來源：盧鬆鬆部落格，歡迎關注我的帳號哦！