如何看待这次阿里云未及时上报高危漏洞的事件

既然是工信部网络安全的合作单位,发现安全漏洞当然是要第一时间上报工信部的,否则工信部跟它合作的意义在哪儿?

参考:
从开发者角度看这是一个程序员的正常操作,发现开源项目的漏洞 肯定先提issue,待开发者自己核实,不可能去报警,与其质疑这个,为什么不质疑为什么大家要用三个外国人写的代码呢?

参考:
这个事情工信部很恼火。
阿里云发现阿帕奇组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
处理办法:暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。
正常情况下,阿里云应该同时通知阿帕奇组件的提供机构和上报工信部。
现在这个现象是很不正常的,至少说明阿里云的内控设计有问题。
阿里云是非常重要的云服务商,光暂停资格是不够的,还需要进一步开展溯源调查,彻底查清楚这件事。
网络安全事关国家安全。
不过,其他云服务器厂商没发现这个事情,能力堪忧。
那些国字头的大牌云服务厂家,关键时候行不行,真的要打个问号。
现在互联网上的基础组件都是美国为主的西方国家开发的,国内公司拿来就用,安不安全等受到攻击才知道。
真正有用的办法,是要等华为这样的公司崛起,否则,现阶段该用还是要用,不可能不用。
那些过度批评阿里的人,其实没资格。
人家起码发现问题了,人家不说,你连有问题都不知道,真是羞羞啊。

参考:
阿里云的合规风控人员,绝壁不熟悉高危漏洞上报流程。
工信部的处罚,也是依据上报流程。
这个漏洞,一旦遭坏人应用,可是涉及到国家信息安全。
如此事件,阿里云这么轻率处理,或许有我们不知道的内情。

参考:
程序员的常规操作没有错,错在公司没有建立上报的制度和流程。
公司的错误,不应该让普通员工来承担。

参考:
这问题理性看待,阿里做的没问题,用谁家东西发现问题肯定先告诉厂家。
关键近一段时间阿里风评不好,小事被人恶意带节奏。

参考:
首先,从资本角度,某些电商公司是注册在开曼群岛的外国公司,被美日等国外资本控制。
其次,从情绪上说今年某些电商公司受到了很多反垄断法什么的处罚,领导们是不是会有什么情绪就不知道了。
再次,从利益上讲成年人的世界或者商业化是讲利益的,他们的控股资本是美日资本,必然要代表股东股东的利益。
再次,从zz觉悟上讲,某些电商公司的觉悟相比京东这些提高空间还很大。
最后,从技术来说是不是他们解决这个缺陷的能力不足上报基金会,而且上报毕竟也是他家金主美日资本建立的基金会,而且美日还可以趁着这段时间,利用漏洞什么的信息差获取利益,所以行为还是符合国际资本的利益最大化~

参考:
首先要有合规意识、及完善的合规机制。
阿里在技术方面已经发展到相当高的水平,但在合规等运营方面,还需要提高水平,要向国际高水平看齐。
工信部的处罚,是个警示。
安全漏洞不是一个纯技术问题,它也涉及非常敏感的国家安全问题。
前几年英特尔的bug 问题的分享披露过程,后来曾被美国国会追查,因为某中国公司在第一时间得到信息分享。
感觉上,阿里把这个bug,简单地当作了一个技术问题。
整个事情似乎只是程序员在主导。

参考:
对阿里已经吹毛求疵了,其实国内企业有几个比阿里更规范呢?

参考:
log4j2这次是一个比较容易被利用的安全漏洞,黑客可以利用这个安全漏洞控制目标服务器,甚至可以利用这台被攻破的服务器作为跳板在内网横移控制更多的服务器,所以不能先上报外国的机构,否则我国的不管是民间的还是政府机关单位的各种服务器和机房,都有被外国民间黑客甚至外国黑客国家队攻破和控制的风险,这已经涉及国家安全了...
参考:
这漏洞存在很久了,不过被阿里某人披露了,没多大的事,大家对这事反应太过激烈。

标签