如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位？ 第3页

昨天这事儿闹得沸沸扬扬，工信部的惩罚和阿里云的公告我都看了下，简单聊聊我的看法。

我认为这就是一个工作流程上的失误，阿里还处于「工业和信息化部网络安全威胁和漏洞信息共享平台」（以下简称平台）未上线之前的工作流程，还是按照只上报产品提供方的原流程。

我猜想是安全工程师和项目负责人忙于处理安全隐患，而把新修改的上报流程忘到脑后了。

公告对这个事情的解释也是，发现安全bug后“按业界惯例”报告给了Apache开源社区请求帮助，随后，这个漏洞才被外界证实是一个全球性的重大漏洞。

但是现在说什么都没用了，错误已经是既定事实，有则改之就行了。

工信部也给了惩罚措施，暂停合作6个月，整改完再说。阿里云在公告里也表了态：强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

在聊这个性质之前，我们先来看看这个漏洞本身的危害。

这个漏洞危害有多大？

首先这个漏洞被发现在阿帕奇Apache上，Apache是一个Web服务器，其中Apache HTTP Server 是Apache软件基金会的一个开放源码的网页服务器，可以在大多数计算机操作系统中运行，由于其多平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩展，将Perl/Python等解释器编译到服务器中。

简单来说，每当你在网页地址栏里输入http://abc.def.ghi的时候，这条命令背后的处理器Apache就负责全力开展行动。

正因为Apache的广泛使用，才导致这次的漏洞危害特别大。

Apache Log4j2 是阿帕奇软件基金会旗下的一款日志纪录工具，90% 以上的 Java 开发平台都会直接或间接地使用这款工具。

漏洞原理官方表述 是：Apache Log4j2 中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

覆盖了 IT 通信 ( 互联网 ) 、高校、工业制造、金融、医疗卫生、运营商等大量的行业和领域。业界将其称之为堪比 2017 年 " 永恒之蓝 " 的安全漏洞。

2017 年 4 月，黑客团体 Shadow Brokers 公布了一大批网络攻击工具，其中最为突出的便是 " 永恒之蓝 " 工具。

这款工具利用 Windows 系统的 SMB 漏洞，可以获取系统的最高权限。不法分子通过 " 永恒之蓝 " 工具制作了 wannacry 勒索病毒，攻击了英国、俄罗斯、整个欧洲等地区的多个高校、大型企业机构的网络系统，并向被攻击者勒索高额赎金才予以解密恢复文件。

如此高危害级别的安全漏洞，阿里云虽然发现了漏洞并反馈给了软件所有方阿帕奇软件基金会，但在网络安全威胁信息共享平台的上报流程上出现了问题。

警惕阴谋论

阿里云在云计算领域里面，不管是其的技术方面，还是开源方面，在业内都是佼佼者。计算机领域的开源精神在网络安全方面体现的淋漓尽致。

在这次的事件中出现了一些「漏洞」离谱的阴谋论：

1 为什么没按规范做？

目前最新的漏洞上报流程只有一个文件，具体的案例还暂未出现，阿里云基于「开源」的精神，将漏洞率先上报提供方，这无形中是满足了规范的第一条规定的。只是没有意识到这个严重性，所以没有及时上报。

作为一家成熟的企业，明确法规却瞒报是不可能的事情。

2 阿里ptsd

阿里云的云服务质量绝对是世界范围内的佼佼者，除了AWS和MS在欧美领域的先发优势，其在别的地域实力不逞多让。

3 不应该用开源的，应当全部国产，自主可控。

这个其实就有点不知道怎么反驳了，因为太过离谱。因为Apache只是成千上万个模块中的一个，这些模块是全世界的开发者共同努力的结果。正是因为互联网的「开源精神」，才让它发展的如此迅猛。

不是所有的东西都能国产，单独的国家力量是有限的。

阿里云在这件事情上明确存在管理不规范的问题，处罚的一点问题也没有。但是，这个上报的合作单位绝对不止阿里云一家，其他的合作单位的处理方法暂时还是未知数。但可以肯定的是，各种阴谋论是绝对不可取的，人人自危的结果就是技术停滞不前。

新的上报流程

题目中提到的「工信部网络安全威胁信息共享平台合作单位」是工信部下属的一个工作单位，于今年的九月二日成立

根据其职能，不仅要求需要上报网络产品安全漏洞，包括还不限于工业控制产品安全漏洞、移动互联网APP产品安全漏洞、车联网产品安全漏洞等。

在其官网上可以看到这有三个栏目，其中关于上报流程的规定就在第二个文件里面，可见发布时间是今年的8月30日。

其中具体要求如下图

第一，立即上报产品提供者（也就是Apache） ----- 完成

第二，两日内向「平台」上报，并报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。 ------ 疏漏

第三，对客户和用户负责 ---- 完成

显而易见，阿里还是按照之前的流程，只做了第一和第三步，而对于新增的第二步产生了工作流程上的疏漏。

正常情况下不会去做这种很明显是错误的事，这种工作流程上的不完善，从各自的工作日志上都可见端倪。

平台从建立以来，也没有过具体的漏洞公布过。

工作流程的失误是板上钉钉的事实了。所以新规颁发后，作为国内市占率第一的云厂商，更应该做好带头作用，内部形成这种意识形态和敏感性。

能力越大责任也越大

阿里云的份额在世界排名第三，在亚太第一无可争议的第一。正是因为这么大的覆盖面，这种错误才显得难以接受。

不过大家也不用太过担心，因为近期由Gartner发布最新报告显示，阿里云IaaS基础设施能力拿下全球第一，在计算、存储、网络、安全四项核心评比中均斩获最高分。据介绍，这也是中国云首次在硬核的IaaS能力上整体超越亚马逊、微软、谷歌等国际厂商 。

阿里云在安全方面其实是非常专业的，这次的乌龙事件就是流程上的失误，以其在权威机构评分下极高的安全性能，还是十分值得信任的。

这次错误犯得的不好，下次不允许再犯了。

昨天白天和朋友 @lokinko 讨论了下这个问题，不过昨天忙得没时间写回答，现在才来简单答答。

其实问题很简单，就好像@lokinko同学说的，阴谋论的回答可以歇歇了，也不要把什么问题都上升到大是大非。发生这种事情，完全是阿里云安全部门的工作流程出现了错误而已。我估计可能是以下两种原因：

1. 合规部门没有及时跟进到最新政策。但可能性较少，因为合规部门的工作之一就是研究政策。
2. 最可能的是合规部门可能了解到了新政策，但阿里云的合规部门没有和工程部门做好知识共享，结果发现漏洞的人没有即时告诉工信部这个漏洞。

有人好奇，到底是什么政策？其实是《网络产品安全漏洞管理规定》，公布于今年7月，9月1日开始实施，还是挺新的政策。

可能有人会说，你说的这些，是不是为阿里洗地？非也。我自己做风控的，主要业务就是做合规技术的（RegTech），用技术推进合规。我能理解作为工程人员，是很难了解所有政策的，连我这种专门做RegTech的人都很难了解所有政策，更别说专门做云技术的技术人员了，所以很多公司会有专门的合规部门。

有人说，这个漏洞，最先发现漏洞的，是阿里云安全团队，从技术角度上来说，阿里云本来应该是立功了，帮助整个行业修复了一个严重的安全漏洞，为啥阿里云还被罚了，这样的话，是不是以后大家发现漏洞都不敢报了？没必要过度想象。

事实上，在《网络产品安全漏洞管理规定》的第七条（1）中说到：对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。所以，阿里云根据开源项目惯例，发现漏洞，立即报给Apache，并没任何不妥，完全符合规定。

但是——这里要说但是了——紧接着的第七条（2）指出——应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。这点阿里云并没有做到，工信部是多天以后才从公开新闻了解到这个漏洞。

作为监管部门，工信部当然有必要及时了解到最新的漏洞信息，况且，工信部毕竟是阿里云的合作伙伴。

所以，暂停6个月的合作这惩罚也算合理，不算轻但也不算严重，希望阿里云吃一堑长一智，之后在漏洞上报流程方面更完善点吧，确保漏洞信息通知到所有利益相关方和监管部门。顺便一说，Log4j2这个问题最近我们好几个客户都遇到了，在漏洞被曝出来后，他们首先通知到各自的合规部门和监管部门，然后通知到了我们公司，基本上所有利益相关的人员都通知到了。

总结下，整个过程是这样的：阿里云安全团队按照国际流程，在发现漏洞时向Apache官方报告了漏洞，但忘记了（或者不知道）也要向工信部报告。毕竟有的时候，处理安全问题，如果流程不一样，产生的结果也不一样。如果你是职场人士，你会对「流程」一词更有体会。

---

  deng-ren-55-44 网友的相关建议: 
      

反正我大一的时候，学的第一堂课是工程伦理。大四上的最后一个必修是网络安全与知识产权相关法律。我是不知道你们这些洗地程序大佬怎么那么多的理由和借口的？估计是学分低没技术的课都逃了。

这种恶性bug，不第一时间报告国家，鬼知道有多少重要服务器已经被攻击了。

少他妈技术无国界，什么来源之类的屁话，你们这群洗地的有种就别留在国内。

码农便涨红了脸，额上的青筋条条绽出，争辩道，“开源组织不会窃听……窃听！……程序工程师的事，能算窃么？”接连便是难懂的话，什么“谷歌不作恶”，什么“GPL开源”之类，引得众人都哄笑起来：水区内外充满了快活的空气。

---

  kevin-zhang 网友的相关建议: 
      

先回顾一下事件的影响，这次log4j的漏洞影响相当大，是全行业受影响，而不仅仅是阿里云：

通过Google搜索引擎对依赖该组件的产品、其他开源组件分析后发现，有310个产品、开源组件依赖了Apache Log4j2 2.14.1的版本，包括诸多全球使用量的Top序列的通用开源组件，例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。

而Struts2，Druid，Flink等组件简直是互联网公司的标配。

这不得不把软件供应链安全再次拿出来讲一讲了。

2015年9月，黑客组织利用当时通过官方渠道获取苹果 Xcode 官方版本困难的情况 , 在非官方渠道发布的 Xcode 注入病毒，导致 2500 多款使用该开发工具开发的苹果 App 被植入恶意代码，受影响的苹果 iOS 用户达 1.28 亿。
2017年8月，安全研究人员发现知名电信设备制造商Iris生产的调制解调器存在五个安全漏洞，其中三个硬编码后门账号漏洞。由于未及时开展漏洞挖掘和修复工作，直接导致攻击者利用三个后门账号控制设备，获取root 权限，安装新固件乃至架设僵尸网络。
2017年9月，NetSarang公司开发的安全终端模拟软件Xmanager、Xshell、Xftp、Xlpd等产品中包含的nssock2.dll模块源码被植入恶意后门。
2020年12月，美国SolarWinds公司的Orion软件更新服务器上存在一个被感染的更新程序，导致美国财政部系统等约18000家关键基础设施、联邦机构和企业受到影响，部分受影响设备甚至可由攻击者完全操控。

据GitHub统计，2020年新增了1600万开发者用户，预计2025年开发者用户数将达到1亿，而中国开发者数量及贡献度增长已成为全球最快，预测到2030年，中国开发者将成为全球最大的开源群体。

软件定义世界，开源定义软件。

可怕的是，如果我们一切的国产化，都建立在开源软件的基础之上，一旦底层开源软件出现漏洞，影响范围难以估量。

芯片卡脖子很难受，没有相应的软硬件，造不出芯片；

开源卡脖子很可怕，当开源已经深入所有应用的方方面面，如果有一天突然断供/出现漏洞，如同整个软件世界的地基突然坍塌，皮之不存，毛将焉附？

回到问题本身，阿里云首先发现了漏洞，由于log4j是Apache开源基金会的项目，所以阿里云第一反应是把漏洞报给基金会，这没什么问题，主要还是低估了这个漏洞对行业的影响，没有按照漏洞管理办法的流程进行发布。

一方面，这次确实应该整顿一下流程，不光阿里云，各家都是，发现了开源组件的漏洞，应该遵循什么样的流程，千万不要低估影响面。

另一方面，我们也应该通过这次漏洞，反思一下整个繁荣的互联网的底层，都依赖于一堆开源软件和组件的现状，这次是log4j，谁知道下次是什么。

---

  glaxyrover 网友的相关建议: 
      

感谢

@sxc

邀请。非常非常感谢。

为了防止邀请我的sxc老师撤销邀请，我不得不截图。

@朱峰女士，你的答案，为了防止你进行修改，我已经截图了。没错，如你问题当中所说，礼貌是不是软弱？

当然不是。

我自问是一个普通人，在知乎得到关注多，也只是因为我勤勤恳恳，一个字一个字写得多，仅此而已。

我去咕咚网之前，当过记者，做过公关，我也不是什么名校毕业，但是我深深知道，原创是品德，是节操。做记者，报道要如实，要客观，要中立，要还原事情的本来面目。

我为什么要在微信群“红包体育”里面和你抬杠，为什么要质问你，想必你已经不记得了，然而我记得清清楚楚。

我不关注你的微信号，那是有非常重要的原因的。朱峰女士，你说你没做过亏心事，那么想必在你看来，未经他人许可引用、转载他人原创的内容，不算是亏心事了。

你不记得的事情，我一点一点帮你回忆起来吧。事情当然没有这么简单。

当你加入“红包体育”的时候，我对群主说了一句话。【我很高兴，我有不删除任何聊天软件当中聊天记录的好习惯。】

这里截图当中的日期是一直就存在的。至今我的iPhone 4S也一直在用呢，不可能改掉。

你为什么和我说抱歉，你忘了？2015年3月3日你所说的，是真的都不记得了？

当时我的反应，算是很克制的了，毕竟当着“红包体育”群里这么多人的面。

为什么我过了这么久，才再次在“红包体育”群里质问你，我想你应该明白。我知道每个人做自媒体不容易，想靠着才华变现，更加不容易，当时你肯道歉，说你会改，那么我也就得过且过了。

问题的关键在于，你改了吗？如果你改了，你就不会不经过

@式微

同意，转载她的答案，而且还将她列为“第二作者”。

你的所谓声明，夹杂在你的正文内容当中，而不是正式开辟一个子栏目道歉，被诸多的信息噪声遮盖着，这就是你的诚意？

上述三张截图，是2015年6月17日早上8:43时截的。我现在还很怕诸多水军说我图片造假呢。下面两张图，是2015年3月3日晚上20:49时截的。那个时候，你的微信ID还没有“太阳表情”。

这个总不能说我作假了吧？

而你在面对我的质疑的时候，说了些什么话，你还记得吗？这就是我为什么要截图的原因。

二次编辑加了些东西，就可以等同于你自己的原创，是吗？

事实证明我当初心一软得过且过，才是真的错误。

你说了“最初开时，格式内容混乱，但转载内容标明了作者”——我还是那句话：用了我的东西，问过我吗？

你说了“微信对于转载格式有了新要求后，我们也跟着学习，把之前来源不明的全部删除。之后再也没有出现不合规的转载“——来源不明？请看看截图，你自己说过的话，怎么就这么快忘了呢？”是从虎扑、知乎、直播吧很多来源的文章“，这还算是来源不明？

你说了“暴力行为冠以道德名义，缺又恰恰选择了一个认真做事的自媒体下手，无论是出于要稿费，还是炒作涨粉，都不会实现的”——暴力冠以道德的名义？我质问你，就是暴力，你不告而拿，拿了我的答案，也拿了知乎上别人的答案，这种偷窃行为，就是道德的？

另外，请弄清楚，到底谁在炒作？我只是把原文作者式微老师带到了“体育红包”群，让她自己和你说清楚，这就是炒作？式微维护自己正当权益没有成功，自己写了篇专栏，以正视听，这叫炒作？

你说了“另外。。。您在背后诽谤我的许多聊天截图我已经给了律师。我们没做亏心事，我们礼貌但不软弱，真的，用法律途径解决，只对我们单方面有利啊。但您若真的要这样苦苦相逼，请也不吝给我一个您的地址，给您去一封律师函”。

我在背后诽谤你？请把截图放出来，让知乎用户都看看，我到底怎么诽谤你了。

你没做亏心事？没做亏心事我会质问你为什么不经过我允许转载了我的内容？

说我苦苦相逼？到底谁逼谁？“咕咚-李旸”是我在“红包体育”群里的ID，那是因为之前说过要标清楚所在的企业、媒体和姓名，所以我这样写。

我再说一次：质问你，是因为你在知乎未经我许可，擅自转载和引用了我的内容；我质问你，是因为你在知乎未经式微老师的许可，擅自转载和引用了式微老师的内容。

知乎上的回答问题，是我业余时间所为，工作忙的时候我只能下班回答问题，晚上写公众号内容，或者把知乎的答案放到我自己的公众号上去。关于足球篮球的内容，和咕咚网没有一点关系，全部是我自己的业余创作。

而你，直接找到了咕咚创始人、CEO申波先生，也就是我的最高领导，去质问我的行为是代表咕咚，还是代表个人。

我在知乎的ID和个人说明写得清清楚楚，没有和咕咚有任何的关联。你没有经过我个人的允许，转载引用我在知乎的内容，被我质疑你转载了别人的内容，居然好意思说是“法律层面的诽谤”？居然还去和我供职的企业对质？

到底是谁苦苦相逼？

所谓认真做事的自媒体，是把知乎用户的文字答案，变成自己的声音和话语，放到视频当中去，是吗？

所谓认真做事的自媒体，是未经他人许可，擅自转载、引用他人在知乎的原创答案，是吗？

最后我很想问一句：你既然深知自媒体人的成长有多么不易，为什么你还要去做“未经许可，擅自转载和引用其他自媒体人的内容”这样的事情？

最后，是我放出的所有截图的具体信息。

我在这里声明：我是知乎用户李暘，在知乎的每一个答案，在知乎的每一篇专栏文章，不敢保证完美无缺，逻辑严密，没有错别字，但全部是我自己的原创内容，任何人未经我许可，转载、引用、抄袭我的答案，即为侵权行为。

---

  sheng-wei-lian-ren-bo-qie 网友的相关建议: 
      

有一说一，其实性价比最高的4K蓝光播放设备很可能是二手xbox

---

  cao-ling-er-36 网友的相关建议: 
      

有一说一，其实性价比最高的4K蓝光播放设备很可能是二手xbox

---

  ge-ye-wu-long-65 网友的相关建议: 
      

因为有这么一群送外卖的女人。

不想看图的国男们，可以看看文字，看看中国新时代女性是如何理直气壮“送外卖”的，省得以后被骗接盘。

今天我碰到了一件令我匪夷所思的事情。

我和朋友(女)去中超买食物(当时我们都戴着口罩,),碰(未和她打招呼,她没认出来)到的那位来自西安的同学(跟波兰人谈恋爱,未婚先孕,正在备孕),她在中超里和老板娘夸夸其谈,说自己的波兰男朋友不关心他,说她怀孕如何痛苦。

这都无所谓,但是当她说"当我波兰男朋友这么冷漠对我,我都极其包容,因为我想着文化差异嘛,要是我谈了个国男,我的分分钟两耳光扇过去!”我很震惊,这凭什么,为什么穷得吊儿郎当的波兰人就可以无限被包容,中国男人就必须对她无限好,否则就是两耳光,我觉得这是对我们的侮辱。

后来出了超市,实在忍不住了,就问了问我的朋友,她居然也认同那个姑娘的,她说"这不是双标,不是区别对待,这是文化差异,她男朋友是波兰人从小受到的教育是这样,所以那样对她,情有可原。但是中国男人从小接受的教育是要对女生百般呵护,要无微不至的照顾,所以一旦对女孩子冷漠了就应该被责罚。”

虽然她们这么说,但我还是坚持我的看法,这是一种双标,是一种侮辱。后来我见再讨论下去会很尴尬,就岔开话题了。这难道不是一种侮辱吗?凭什么对中国男人要求就必须这样那样,对波兰男友就可以无限包容?

作者PS：渣男送盘，老实人接盘，所以国男不能太老实。

---

  chris-85-30 网友的相关建议: 
      

那难怪这个上古文明衰亡了

---

  ethan-75 网友的相关建议: 
      

被告人犯罪

动机卑劣、蓄谋已久，

手法残忍、对象无辜，

主观恶性极高，

犯罪后果极重，

社会影响极坏，

群众愤慨极大，

犯罪事实清楚、定罪证据确凿，

被告人供认不讳，

依法判处被告人死刑立即执行，罪刑相适。

被告人死有余辜、死不足惜。

后续还有二审和最高法核准，不出意外的话，他们会在六一节前伏法。

---