本来只想吃会儿瓜,刷到下面几个回答血压高起来了。
工业和信息化部 网信办 公安部
关于印发网络产品安全漏洞管理规定的通知
发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
条例第七条要求的前提是“网络产品提供者”,而阿里云扮演的是“服务方”. 因此下面许多回答的出发点就不合理。
互联网生态的内核精神就是“开源共享”,从 GitHub 到 CSDN 再到知乎,知识在传递中获得增长,GitHub 的开源代码人人可以质疑和提问题,知乎任何大V的回答都可以站出来纠错,捂住嘴不代表错误就消失了。
回到漏洞提交规定上,条例规定应当 立即通知相关产品提供者。
为什么?约定俗成的规矩是为了减少各方的沟通成本和博弈造成的损失,这次你把 bug 自己偷偷修复后获利,下次就不能保证别的公司发现 bug 对你隐瞒,最后造成互相猜忌、互相伤害的局面,所以将漏洞提交给产品提供者理所应当。
这次错不在做,而在做了以后没有跟相关平台沟通。
应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
不是因为发现 Log4j 组间的漏洞而受罚,也不是因为给 Apache 通知漏洞详情受罚,而是在发现后未及时报至网络安全威胁和漏洞信息共享平台。
相当于是对兄弟们的背刺,发现漏洞后至少要告知合作方,不然平台建设以后就更难推行。
人心散了,队伍就不好带了。
最反感的就是一个简单技术问题上升到大是大非上。
这次通知是网络安全威胁和漏洞信息共享平台决定暂停跟阿里云合作6个月,没有处罚没有整改,只是单纯的一次配合失误。
扯不上大是大非,更不存在说这个上报流程是 外国资本主导下的“标准流程” 这种莫名其妙的回答,全流程都是国内工信部等部门联合发布的规范流程,只是没有上报给内部的网络安全威胁和漏洞信息共享平台。
政治觉悟和职业素养从不矛盾,遵从职业素养上报漏洞就是没有政治觉悟吗?显然不是。
科学家有他的祖国,但科学无国界,网络安全始终是我们要提防的国家安全问题。
涉密不上网,上网不涉密。
我们强调自主可控的安全平台,但在这种 开源项目 内容中,职业素养是维护社区繁荣发展的必然要求。
没人说他报给上游有问题,有问题的是他没有2日内报给工信部。
《网络产品安全漏洞管理规定》(简称《规定》),并自今年9月1日起施行。期中第七条第一款,就是发现漏洞立即向上游产品提供者报告,也就是说必须立即向apache报告;第二款是在2日内向工信部通报。阿里报给apache17天后,apache才对外公布;而工信部是15天后才收到消息,阿里云明显没有做到第二款,被罚活该。
下面一群人屁股老歪了哈,工信部可没有禁止向apache报告,反而《网络产品安全漏洞管理规定》第七条中,第一就是立即向上游产品提供者报告,也就是说必须立即向apache报告;第二才是在2日内向工信部通报。阿里云明显没有做到这一点,被罚纯活该
这个老哥说的好,
有理有据,令人信服
阿里报给apache17天后,apache才对外公布;
而工信部是15天后才收到消息,apache收到漏洞的15天里压根就没有通知中国工信部,那apache会不会告诉美国的相关主管部门呢?会吧。
阿里呢?又有没有通知工信部?没有吧。
高下立判……
要我说,技术人员都是在开源思想下工作的,在一个共享开源平台上交流技术经验,利用开源程序不需要『重新造轮子』
事情的本质就是,技术人员没有合规人员的觉悟
技术人员发现问题以后,想到的是解决,也就是联系提供者,但是少了觉悟,还是要向工信部报备的
看完全过程,认可评论区有个人说的,谁能在一开始就上帝视角完美处理好呢,事后风凉话谁都会说,立定改正才是正解
发现阿帕奇的漏洞的第一反应挺真实,想的不够细觉悟不够高,坦白来说这事跟我们买了个过期食品先跟商家说一样,但特殊环境下,阿里还是要提高觉悟力
网络安全类的工作是不能有半点差池的,以后的公司在这方面一定要提高警惕心和重视度啊!
首先阿里云和国家信安部是合作方,乙方有义务在发现漏洞的情况下第一时间告知甲方。
还有洗地职业道德和政治觉悟冲突的,冲突你个 。
同时上报甲方和社区这两件事之间难道加了互斥锁的?
还有说不信任开源软件就不要用的人,我信任开源软件,但是信任不了利用开源软件的漏洞背后去使坏的那群人啊。这里面的逻辑都理不清,你要好好掂量自己的智商了。
“阿里云将该漏洞第一时间报给了美国Apache公司,并未向我国工信部报备该漏洞,且间隔17天后.Apache公司发布补丁才对公众公布此事。(- 般公司产品漏洞的修复时间及发布补J不会超过三天)在此期间,如果利用漏洞发起攻击,影响的范围堪比2017年“永恒之蓝"病毒,当年的WannaCry勒索病毒,致使美国、英国、俄罗斯、中国等至少150个国家,30万名用户中招。目前中美形式十分紧张,美对我网络攻击持续渗透中,国安、部委正在排查我国资产受否已受到境外攻击,造成信息被窃取或者服务器、系统被植入木马等损失。”