突然被工信部重罚！阿里云到底干了啥？

阿里技术人员发现了其使用的开源代码中存在一个世界级的漏洞，该漏洞可以让黑客直接获取位于阿里云服务器的权限，直接下载数据。

阿里发现漏洞后，上报给了位于美国的该开源项目的管理机构，而没有在两天内报告工信部。

十五天后工信部才接到土澳方面的报告提供这个漏洞，结果发现竟然是自己人先发现的，竟然没有上报。

仅仅是报告给美国的开源项目不是什么大错，这个开源机构就是服务全球程序员的，程序员也共同给开源项目添砖加瓦。工信部也知道这种情况，因此规定的是发现漏洞2日内上报，已经留足了给开源机构报告的时间。

问题是阿里没有大局观，对目前对抗的局势不敏感，上报完了没有给工信部报告。

而其他公司在了解到这个漏洞后以为阿里肯定已经上报了，也没有补位给工信部报告。

这就导致的我国先发现的漏洞反而还要从国外获撤销息。

因此阿里被工信部决定暂停6个月阿里云的工信部网络安全威胁信息共享平台合作单位。

阿里竟然在发现了重大系统安全隐患之后，并不是向工信部及时报告这些信息，而是第一时间把这个信息分享给了，美丽国的阿帕奇软件基金会。在国内大多数服务器都容易受到攻击的情况下，瞒着所有人给美国通风报信，连最基本的社会责任都不承担，我们不用道德的准则来要求他。至少他要讲诚信吧？阿里和工信部是有协议的，发现网络安全漏洞必须在第一时间通报。阿里连最基本的合同精神和遵守规则都没有做到。

所以大家也清楚为什么工信部对这个行为给出了最严厉的处罚，暂停阿里信息共享平台合作单位的资格六个月。

六个月之后还得看整改的情况，再酌情恢复或者延长。许多不是行业内的朋友可能不清楚这个影响，有多大，他可能会导致阿里云，至少在未来六个月里边儿是很难拿到任何对公的订单，甚至有些签了合同，还没实施的项目也有可能受到影响。

但这还只是经济损失，更重大的是，阿里云很难再获得合作伙伴的信任了。选择云服务，第一思考的就是安全和信任，这下阿里云真的是遇到大麻烦了，而且这个麻烦很有可能还会成为压倒骆驼的最后一根稻草。

阿里在电商和金融业务纷纷受挫之后啊，本来是把阿里云看做手里的最后一张王牌，但这张牌可以说还没出就被自己给玩儿坏了。本来看到马老师这两天受到表扬，还觉得阿里是有值得肯定的地方的，但谁想到阿里云能搞这么一下子。

所以，企业积极承担超过自己业务范围的社会责任固然值得表扬，但这不代表企业可以不承担它固有的社会责任，企业。制造的麻烦不能比你自己创造出来的价值大，而且企业自己搞出来的烂摊子必定要自己收拾干净。对阿里来说，多种树不代表可以996，搞乡村教育也不代表可以滥用大数据。希望这次阿里能吸取教训啊，做到浴火重生，真的不希望看到这么好的企业就此就沉下去了。

实际上，早在11月24日，阿里云安全团队就向Apache官方报告了Apache Log4j2远程代码执行漏洞。

12月7日，Apache Log4j官方发布2.15.0-rc1版本以修复漏洞。

但不知道出于何种缘由，阿里云并未向国内电信主管部门及时上报。

这导致中国工信部是在收到网络安全专业机构报告后，才发现Log4j2组件存在严重安全漏洞。

12月22日，据21世纪经济报道消息，近期，工信部网络安全管理局通报称，阿里云计算有限公司（下称：阿里云）发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》，网络产品提供者应当在2日内向工信部报送相关漏洞信息。

而工信部12月9日发现上述漏洞，距阿里云首次发现已经过去15天。

12月17日，工信部网络安全管理局才发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。

要知道，今年9月1日，为落实《网络产品安全漏洞管理规定》有关要求，工信部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。

其中，《网络产品安全漏洞管理规定》第七条明确指出：

网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

对于阿里云此次未及时上报的行为，网络上众说纷纭。

有网友认为，“阿里云光想着获得世界声誉，没把国内安全当回事。”

尤其是在阿里云还是工信部合作单位的前提下，如此大的漏洞竟然没有上报，实在匪夷所思。

也有网友认为，不必上升到这个地步，这次大致只是阿里云员工内部培训疏忽了流程而已。

根据阿里最新发布财报显示，今年三季度，阿里云营收达200亿元。

在过去三年间，阿里云的海外市场规模增长了10倍以上，是亚洲规模最大的云计算平台。

但是今年以来，阿里云在国内便已被官方点名了3次（算上这次）。

今年8月，据浙江省通信管理局通报，经调查核实，2019年11月11日阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司，已责令阿里云计算有限公司改正。

11月，工业和信息化部网络安全管理局、公安部刑事侦查局联合约谈阿里云、百度云两家企业相关负责人。

通报了近期两家企业在防范治理电信网络诈骗工作中存在的接入涉诈网站数量居高不下等问题。

工信部等部门要求两家企业切实对相关问题限期予以整改；拒不整改或整改不到位的，将依法依规从严惩处。

总而言之，工信部建立网络安全威胁和漏洞信息共享平台的初衷，本就是维护国内网络安全。

阿里云作为合作单位，既然加入了这一平台，就应该担负起自己的责任，为维护人民群众财产安全与合法权益出力。

而这次惊心动魄的Log4j2漏洞事件，也无疑给全球开发者敲响了一记警钟。

说简单点，阿里的程序员，发现了美国开发的一个软件有重大bug，阿里第一时间向美国反应情况，但没有同时向工信部反应，工信部是过了一段时间才知道有这个bug,居然还是中国国内的公司向美国反应的。

这种事实则如果事先没有说清楚，也不能说是错，最多是呵斥几句，下次注意。但工信部之前有过通知，发现这种bug要上报工信部，由于国内可能有公司或者重大机构在使用这个软件。

实则阿里把事情向工信部汇报一下就完了，怎么处理是工信部的事，不管处理的是好是坏，只要你上报了，就没你阿里的事了，还有汇报的功劳。目前倒好，阿里是猪八戒照镜子，里外不是人，不但被官方批评，还被老百姓骂，老百姓目前对这个有里通外国嫌疑的事很敏感，这件事也反映了阿里的管理层平时也没怎么看官方通知，这种事一般都是说得很清楚，发现问题要立刻上报，一句话的事情都能忘了，这都什么脑子！我都怀疑阿里这个公司的价值观是不是世界价值观，一开口就是全人类，连工信部这种国家机构的通知，死记硬背都背不下来。

阿里云被重罚，应该是他咎由自取！

我想不清楚的是，既然是发现了世界级计算机安全漏洞，应该第一报告的是国家有关部门。而阿里云第一报告的是外国机构，这究竟是什么操作？

是阿里云员工内部培训疏忽了流程了吗？

我想，这绝对不是！

这问题应该出在阿里云内部的高层身上。

在信息安全问题上，国家的利益应该高于一切。

阿里云既然要作死，那么就应该狠狠的教训他，让他好好长点记性！