阿裡雲在11月發現瞭Apache(阿帕奇)史上盡可能最嚴重的漏洞,但卻沒有國內主管部門工信部報告,而是首先向美國的Apache軟件基金匯報瞭此問題。最後工信部是從網絡安全專業機構得到的消息。
阿裡雲給美國的開源組織上報完瞭,卻把工信部扔下瞭,屬於嚴重的不合作行為,被工信部暫停合作單位資格6個月。
根據阿裡雲與工信部合作要求:發現漏洞兩日內報告給工信部。暫停合作是因為沒及時匯報,規定寫的很清楚要2日內報告。而不是因為發現漏洞。有功夫給apache報,沒功夫給國傢報?
發現漏洞,本應該是好事,怎麼阿裡雲還被罰瞭,其實,行業內都是這麼做的,反過來想一想,為什麼不是華為,不是360,騰訊發現這樣的漏洞,而是阿裡雲,至少證明瞭阿裡雲的技術是可以的。
據觀察者網報道,2021年11月24日,阿裡雲團隊發現瞭著名Web服務器軟件Apache下的開源日志組件Log4j內,有一個嚴重漏洞Log4Shell,該漏洞可以讓網絡攻擊者無需密碼就能訪問網絡服務器,有網絡安全專傢認為,該漏洞潛在危害極大,可能是“計算機史上最大漏洞”。
因為存在於Java日志框架的Log4j,被廣泛應用於各種應用程序和網絡服備,幾乎每個網絡安全系統都會利用一些日志框架進行紀錄,Log4j一旦出現漏洞 ,影響范圍,將是世界級的,截止目前,包括蘋果、三星、steam、亞馬遜和推特等在內的巨頭皆受到攻擊或潛在攻擊風險。
阿裡雲團隊提交該漏洞後,Apache軟件基金會已將這一漏洞的業重性列為最高的10級,網安公司Tenable相關負責人直言,Log4Shell是“過去十年內最大也是最關鍵的單一漏洞”。
阿裡這事就是典型的技術思維不講政治,技術人員其實思路沒問題,先報給開發商,等待開發商修復。但是阿裡的人忘記瞭他是中國公司,他應遵守中國的法律法規,就跟美國企業為啥放著錢不賺不賣芯片給你中國人?違反瞭工信部的規定挨罰那是活該。何況是中美關系這麼緊張的當下。
科技無國界,但安全有國界,跟大敵當前,發現敵情卻不報,偷摸後撤沒有兩樣。至於有人罵工信部豬頭,沒能力發現安全漏洞,完全是混淆視聽。