当前位置：首页 > 资讯 > 焦点关注

阿里云未及时上报漏洞被工信部处罚 阿里云提示漏洞需要修复吗

来源： 最后更新：2023-08-25 18:00:46

The Beginning

工信部明文规定，不知道阿里云是忽略了还是无视掉了，在发现重大漏洞后未按照明确要求上报给上级主管部门，直接报给了外国开源组织基金会，就没有然后了，半个月后，行业组织公布了安全报告，我们的主管部门才知道，漏洞危机下，全国裸奔2周。ata育儿早教网

最终，阿里云被管理部门重罚，暂停网络安全威胁信息共享平台合作单位6个月。ata育儿早教网

今天和大家聊一下，这个事到底咋回事？是什么性质？对阿里云会产生什么影响。ata育儿早教网

ata育儿早教网

如果是从事网络安全相关的工作，一定在知道前段时间爆出的一个重大漏洞，阿帕奇（Apache）Log4j2组件安全漏洞，因为它的使用范围太大了，漏洞被利用的后果也非常严重。ata育儿早教网

然而，真正的问题在于，这个漏洞是阿里云的一名安全工程师发现的。但阿里云直接将漏洞上报给了行业组织，应不应该上报？应该。ata育儿早教网

但是，先不说你未按流程上报，你至少也得和主管部门通个气吧？作为共享平台合作单位，也应该及时上报给国家的网络安全威胁和漏洞信息共享平台，何况主管部门有明文规定，今年9月1日才开始实施的新政策。ata育儿早教网

ata育儿早教网

要不然，我们国家建设这个平台干嘛？阿里云作为合作单位，明明最早发现，却不说，这相当于是对兄弟们的背刺，因为漏洞有除阿里云之外的其他人得知了。也就是说，在漏洞被修复前，很可能被其他人利用，况且还是个外国组织。那么同作为共享平台合作单位的兄弟们裸奔了两周，你至少告知一下嘛。ata育儿早教网

再说流程上的事。

阿里云作为中国网络安全威胁信息共享平台合作单位，而且是重量级的，又是国内遥遥领先的云公司，说它不知道有这个规定，我想是不可能的，但是却直接无视掉了。ata育儿早教网

什么性质呢？往小了说是阿里云员工疏忽了。往大了说，就是公司不重视上级管理部门的规定，同时也是阿里云内部的管理问题，并非技术问题。反而，技术团队能首先发现严重漏洞，恰恰证明研发能力强。ata育儿早教网

ata育儿早教网

上级管理部门的处罚内容中，点名批评了直接向国外CVE报送的Log4j2漏洞的那个安全专家，却没有对安全研发人员做任何点名和批评，就可以看出来问题在哪。ata育儿早教网

阿里云的漏洞管理流程和上报机制是存在问题的，我并不清楚其内部的具体规定，但是，阿里云这么大的企业，应该是有相应评价体系的，也许就是发现的漏洞获得某些组织的确认，便可以获得某些激励。ata育儿早教网

这叫什么？不重视，不当回事。ata育儿早教网

对于阿里来说，这次的处罚还是会造成一定影响的。首要的就是客户或者是意向客户的流失，当前的云市场竞争已经非常激烈，阿里云虽然遥遥领先，但是华为云、腾讯云等其他云公司也在迅速增长。况且，当前正处于逐步加强信息安全的敏感时期，国资云逐步成立。ata育儿早教网

ata育儿早教网

阿里云被上级主管部门公开处罚，点名批评。一定会影响客户的采购决策。ata育儿早教网

不过，因为这次漏洞影响范围巨大，阿里云也是被当作典型被通报了，刚刚实施了新政策，就往枪口上撞，正好也整顿一下国内网络安全方面的相关意识和流程。ata育儿早教网

THE END

广告、内容合作请点击这里 寻求合作

免责声明：本文系转载，版权归原作者所有；旨在传递信息，其原创性以及文中陈述文字和内容未经本站证实。

所属专题: [db:关键词]  

本文地址:http://www.yuerzaojiao.com/news/jiaodian/461195.html

华为折叠屏新机相比三星有何异同

网站首页 返回栏目

电脑时间同步软件哪个好

最新文章

推荐文章