漏洞|阿里云被工信部处罚
我是卢松松 , 点点上面的头像 , 欢迎关注我哦!
阿里云在11月发现了Apache(阿帕奇)史上尽可能最严重的漏洞 , 但却没有国内主管部门工信部报告 , 而是首先向美国的Apache软件基金汇报了此问题 。 最后工信部是从网络安全专业机构得到的消息 。
阿里云给美国的开源组织上报完了 , 却把工信部扔下了 , 属于严重的不合作行为 , 被工信部暂停合作单位资格6个月 。
文章图片
根据阿里云与工信部合作要求:发现漏洞两日内报告给工信部 。 暂停合作是因为没及时汇报 , 规定写得很清楚要2日内报告 。 而不是因为发现漏洞 。 有功夫给apache报 , 没功夫给国家报?
发现漏洞 , 本应该是好事 , 怎么阿里云还被罚了 , 其实 , 行业内都是这么做的 , 反过来想一想 , 为什么不是华为 , 不是360 , 腾讯发现这样的漏洞 , 而是阿里云 , 至少证明了阿里云的技术是可以的 。
据观察者网报道 , 2021年11月24日 , 阿里云团队发现了著名Web服务器软件Apache下的开源日志组件Log4j内 , 有一个严重漏洞Log4Shell , 该漏洞可以让网络攻击者无需密码就能访问网络服务器 , 有网络安全专家认为 , 该漏洞潜在危害极大 , 可能是“计算机史上最大漏洞” 。
因为存在于Java日志框架的Log4j , 被广泛应用于各种应用程序和网络服备 , 几乎每个网络安全系统都会利用一些日志框架进行纪录 , Log4j一旦出现漏洞, 影响范围 , 将是世界级的 , 截止目前 , 包括苹果、三星、steam、亚马逊和推特等在内的巨头皆受到攻击或潜在攻击风险 。
阿里云团队提交该漏洞后 , Apache软件基金会已将这一漏洞的业重性列为最高的10级 , 网安公司Tenable相关负责人直言 , Log4Shell是“过去十年内最大也是最关键的单一漏洞” 。阿里这事就是典型的技术思维不讲政治 , 技术人员其实思路没问题 , 先报给开发商 , 等待开发商修复 。 但是阿里的人忘记了他是中国公司 , 他应遵守中国的法律法规 , 就跟美国企业为啥放着钱不赚不卖芯片给你中国人?违反了工信部的规定挨罚那是活该 。 何况是在中美关系这么紧张的当下 。
科技无国界 , 但安全有国界 , 跟大敌当前 , 发现敌情却不报 , 偷摸后撤没有两样 。 至于有人骂工信部猪头 , 没能力发现安全漏洞 , 完全是混淆视听 。
【漏洞|阿里云被工信部处罚】文章来源:卢松松博客 , 欢迎关注我的帐号哦!
推荐阅读
- 专访|专访犀思云创始人张雄国:NaaS服务的核心是成就客户
- 科技|华数集团战略合作部·华数传媒网络余浙东总经理参观云针科技
- 生产|云丁科技:用10年打造全球最大的智能门锁生产基地
- Windows|微软发布补丁 修复HTTP协议堆栈远程执行代码漏洞
- 驱动|[原]百度智能云知识中台,驱动产业智能化升级
- Check|2021 网络攻击同比增长 50%,Log4j 漏洞“功不可没”
- 影像|智慧医疗需要这样的一片“云”
- 阿里云|揭秘“云上奥运”:冬奥云数据中心300余天“免费”自然冷却
- Microsoft|前高管建议微软剥离Office和Windows以促进云计算业务
- 新浪科技|前高管建议微软剥离Office和Windows以促进云计算业务