如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位？ 第1页

本来只想吃会儿瓜，刷到下面几个回答血压高起来了。

工业和信息化部 网信办 公安部

关于印发网络产品安全漏洞管理规定的通知

一、反驳“不应该立即通知 Apache 方“的观点

发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

条例第七条要求的前提是“网络产品提供者”，而阿里云扮演的是“服务方”. 因此下面许多回答的出发点就不合理。

互联网生态的内核精神就是“开源共享”，从 GitHub 到 CSDN 再到知乎，知识在传递中获得增长，GitHub 的开源代码人人可以质疑和提问题，知乎任何大V的回答都可以站出来纠错，捂住嘴不代表错误就消失了。

回到漏洞提交规定上，条例规定应当 立即通知相关产品提供者。

为什么？约定俗成的规矩是为了减少各方的沟通成本和博弈造成的损失，这次你把 bug 自己偷偷修复后获利，下次就不能保证别的公司发现 bug 对你隐瞒，最后造成互相猜忌、互相伤害的局面，所以将漏洞提交给产品提供者理所应当。

二、反驳“多做多错，能者受罚”的观点

这次错不在做，而在做了以后没有跟相关平台沟通。

应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

不是因为发现 Log4j 组间的漏洞而受罚，也不是因为给 Apache 通知漏洞详情受罚，而是在发现后未及时报至网络安全威胁和漏洞信息共享平台。

相当于是对兄弟们的背刺，发现漏洞后至少要告知合作方，不然平台建设以后就更难推行。

人心散了，队伍就不好带了。

三、反驳“考验政治觉悟和职业素养的取舍”的观点

最反感的就是一个简单技术问题上升到大是大非上。

这次通知是网络安全威胁和漏洞信息共享平台决定暂停跟阿里云合作6个月，没有处罚没有整改，只是单纯的一次配合失误。

扯不上大是大非，更不存在说这个上报流程是 外国资本主导下的“标准流程” 这种莫名其妙的回答，全流程都是国内工信部等部门联合发布的规范流程，只是没有上报给内部的网络安全威胁和漏洞信息共享平台。

政治觉悟和职业素养从不矛盾，遵从职业素养上报漏洞就是没有政治觉悟吗？显然不是。

科学家有他的祖国，但科学无国界，网络安全始终是我们要提防的国家安全问题。

涉密不上网，上网不涉密。

我们强调自主可控的安全平台，但在这种 开源项目 内容中，职业素养是维护社区繁荣发展的必然要求。