如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

使用CN2/CN2GIA顶级线路,支持Shadowsocks/V2ray科学上网,支持支付宝付款,每月仅需 5 美元
## 加入品葱精选 Telegram Channel ##

知乎用户 财联社鲸平台智库​ 发表

本来只想吃会儿瓜,刷到下面几个回答血压高起来了。

工业和信息化部 网信办 公安部

关于印发网络产品安全漏洞管理规定的通知

工业和信息化部 网信办 公安部关于印发网络产品安全漏洞管理规定的通知_2021 年第 28 号国务院公报_中国政府网

一、反驳 “不应该立即通知 Apache 方 “的观点

发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

互联网生态的内核精神就是 “开源共享”,从 GitHub 到 CSDN 再到知乎,知识在传递中获得增长,GitHub 的开源代码人人可以质疑和提问题,知乎任何大 V 的回答都可以站出来纠错,捂住嘴不代表错误就消失了。

回到漏洞提交规定上,条例规定应当 立即通知相关产品提供者

为什么?约定俗成的规矩是为了减少各方的沟通成本和博弈造成的损失,这次你把 bug 自己偷偷修复后获利,下次就不能保证别的公司发现 bug 对你隐瞒,最后造成互相猜忌、互相伤害的局面,所以将漏洞提交给产品提供者理所应当。

二、反驳 “多做多错,能者受罚” 的观点

这次错不在做,而在做了以后没有跟相关平台沟通。

应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

不是因为发现 Log4j 组间的漏洞而受罚,也不是因为给 Apache 通知漏洞详情受罚,而是在发现后未及时报至网络安全威胁和漏洞信息共享平台。

相当于是对兄弟们的背刺,发现漏洞后至少要告知合作方,不然平台建设以后就更难推行。

人心散了,队伍就不好带了。

三、反驳 “考验政治觉悟和职业素养的取舍” 的观点

最反感的就是一个简单技术问题上升到大是大非上。

这次通知是网络安全威胁和漏洞信息共享平台决定暂停跟阿里云合作 6 个月,没有处罚没有整改,只是单纯的一次配合失误。

扯不上大是大非,更不存在说这个上报流程是 外国资本主导下的 “标准流程” 这种莫名其妙的回答,全流程都是国内工信部等部门联合发布的规范流程,只是没有上报给内部的网络安全威胁和漏洞信息共享平台。

政治觉悟和职业素养从不矛盾,遵从职业素养上报漏洞就是没有政治觉悟吗?显然不是。

科学家有他的祖国,但科学无国界,网络安全始终是我们要提防的国家安全问题。

涉密不上网,上网不涉密。

我们强调自主可控的安全平台,但在这种 开源项目 内容中,职业素养是维护社区繁荣发展的必然要求。

知乎用户 lokinko​​ 发表

对于不明就里的吃瓜群众,我觉得有必要说明一下:Log4j2 是开源了的,不光国内再用,全世界都在用。

所以,对于所谓的 “阿里故意留漏洞” 的说法,一笑带过即可;而此次问题的症结在于,阿里在发现漏洞之后第一时间向平台方反馈,但却未能及时向工信部报告;

举个不恰当的栗子:

出版商 A 发现某发行的刊物中存在错误,第一时间向原作者反馈了 bug,但却没有通知出版协会,导致出版商 B、C、D、E、F… 等仍旧售卖错版刊物;而作为协会成员,出版商 A 有义务在第一时间告知协会及各方,于是,一场原本可以及时发现、及时止损的事件就被默默拖延,直到最终被发现。

现在协会追责,自然是要按照规章制度来做出惩处,那么作为工信部合作单位,阿里此次自然也是难逃其咎,被暂停 6 个月,也算是以儆效尤了吧。(况且 6 个月对阿里影响也不至于有太大)

嗯,整个事件就是如此。

至于网上流传的各个版本的阴谋论,除了感慨大家想象力比较丰富之外,也不难过分责难——毕竟此前阿里已经有过太多的负面消息,在大众心中的形象大打折扣,也怨不得人,还是希望好好整改,按规矩办事吧~

tips:作为程序员,大家还是无比向往头部互联网大厂的,千万别寒了众人的心.


我是汇智妹,软件工程师一枚,公号:汇智动力学院;

每天除分享 IT 技术干货之外,也会聊聊 IT 圈热议的那些事儿,有意转行 IT 的小伙伴欢迎关注一波,查阅最新就业数据及高薪学员成功转行案例~ 比心♥

知乎用户 汇智动力 IT 学院​ 发表

信息共享平台的意义本来就是你知道有漏洞了上报,平台分享给其他成员,大家都能及时得到通知。你在那收别人的信息收的欢,自己发现的反而没报告,这算啥…… 暂停自然就是为这个事情的警告。

安全漏洞这种事情为什么需要有信息共享平台,因为安全信息的送达是分秒必争的,如果安全漏洞在被发现之后先被攻击者知晓,就会造成不可挽回的损失,所以有必要有专门的通知渠道,保证在漏洞被广泛揭晓之前,先给关键服务提供商修复的机会,国家主导的平台就是为了确保有个尽量可信的送达机制能让这样的信息在尽可能保密的情况下尽快送达各个合作方,阿里因为自身疏忽没好好配合,那不就是没有尽到合作方义务吗?

安全漏洞研究是必须要遵循工作流程规范的,如果工作没做好,反而会成为攻击者的帮凶。这就好比好心帮忙检查大楼坚固不坚固当然是好事,但检查的时候一声招呼不打直接把楼弄塌了,他是好心,你要在楼里面你怎么想?

知乎用户 灵剑​​ 发表

先回顾一下事件的影响,这次 log4j 的漏洞影响相当大,是全行业受影响,而不仅仅是阿里云:

通过 Google 搜索引擎对依赖该组件的产品、其他开源组件分析后发现,有 310 个产品、开源组件依赖了 Apache Log4j2 2.14.1 的版本,包括诸多全球使用量的 Top 序列的通用开源组件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等。

而 Struts2,Druid,Flink 等组件简直是互联网公司的标配。

这不得不把软件供应链安全再次拿出来讲一讲了。

2015 年 9 月,黑客组织利用当时通过官方渠道获取苹果 Xcode 官方版本困难的情况 , 在非官方渠道发布的 Xcode 注入病毒,导致 2500 多款使用该开发工具开发的苹果 App 被植入恶意代码,受影响的苹果 iOS 用户达 1.28 亿。
2017 年 8 月,安全研究人员发现知名电信设备制造商 Iris 生产的调制解调器存在五个安全漏洞,其中三个硬编码后门账号漏洞。由于未及时开展漏洞挖掘和修复工作,直接导致攻击者利用三个后门账号控制设备,获取 root 权限,安装新固件乃至架设僵尸网络。
2017 年 9 月,NetSarang 公司开发的安全终端模拟软件 Xmanager、Xshell、Xftp、Xlpd 等产品中包含的 nssock2.dll 模块源码被植入恶意后门。
2020 年 12 月,美国 SolarWinds 公司的 Orion 软件更新服务器上存在一个被感染的更新程序,导致美国财政部系统等约 18000 家关键基础设施、联邦机构和企业受到影响,部分受影响设备甚至可由攻击者完全操控。

据 GitHub 统计,2020 年新增了 1600 万开发者用户,预计 2025 年开发者用户数将达到 1 亿,而中国开发者数量及贡献度增长已成为全球最快,预测到 2030 年,中国开发者将成为全球最大的开源群体。

软件定义世界,开源定义软件。

可怕的是,如果我们一切的国产化,都建立在开源软件的基础之上,一旦底层开源软件出现漏洞,影响范围难以估量。

芯片卡脖子很难受,没有相应的软硬件,造不出芯片;

开源卡脖子很可怕,当开源已经深入所有应用的方方面面,如果有一天突然断供 / 出现漏洞,如同整个软件世界的地基突然坍塌,皮之不存,毛将焉附?

回到问题本身,阿里云首先发现了漏洞,由于 log4j 是 Apache 开源基金会的项目,所以阿里云第一反应是把漏洞报给基金会,这没什么问题,主要还是低估了这个漏洞对行业的影响,没有按照漏洞管理办法的流程进行发布。

一方面,这次确实应该整顿一下流程,不光阿里云,各家都是,发现了开源组件的漏洞,应该遵循什么样的流程,千万不要低估影响面。

另一方面,我们也应该通过这次漏洞,反思一下整个繁荣的互联网的底层,都依赖于一堆开源软件和组件的现状,这次是 log4j,谁知道下次是什么。

知乎用户 Kevin Zhang​ 发表

阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位 6 个月。

这件事,并没有大家想象的那么脑洞大开,也没必要诬陷工信部,说工信部不懂开源规则,没有啥开源精神,工信部也没有说只准给我上报或者优先给国家上报。

我看非技术圈的人说:感觉阿里云光通报给阿帕奇基金会和作者,不通报给国家,是没有意识形态,是跟某想一样,迟早是卖国贼之类的,说阿里没有把国家安全放在心上。

也有人说:这波站国家,安全漏洞确实很危险,信息安全至关重要,应该第一时间跟国家报告而不是跟美国吧。

技术圈的人就说:报给工信部,工信部能够修复漏洞吗?

很多程序员说:阿里云被处罚,感觉有点不太对,又说不上来哪里不对。

我感觉这个没啥好讨论的,因为:一,没必要上升到国家意识形态层面来讨论,没大家想象的那么严重;二,阿里云被罚也不冤。

原因很简单,在 2021 年 7 月 12 日,工信部、网信办和公安部联合下发的《关于印发网络产品安全漏洞管理规定的通知》中就做出过明确的规定。

在其中第七条当中的第一项和第二项规定当中说:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

你看,规定写的是:当发现安全漏洞的时候,要第一时间上报给产品提供者,然后是 2 日内上报给工信部网络安全威胁和漏洞信息共享平台。

阿里云既然是工信部网络安全威胁和漏洞信息共享平台的合作单位,有义务,也有责任向工信部上报这个漏洞,然后,阿里云却没有,所以被触发了。

这个工信部建立的共享信息平台目的就是当发现漏洞之后,上报给平台之后,平台可以向所有的合作单位发出预警,预防因此而带来的网络安全问题,防止信息泄露,威胁企业乃至国家安全。

如果合作单位都像阿里云一样,不上报,网络安全威胁和漏洞信息共享平台还有啥意义呢?

这个网络安全威胁和漏洞信息共享平台建立的目的不就是维护网络安全嘛。

所以,这个件事跟第一时间通报给国外的阿帕奇基金会没关系,并不是因此受罚,而是你作为合作单位,既然加入了网络安全威胁和漏洞信息共享平台,你就得负起责任,因为你没负责,所以才被罚的。

知乎用户 非著名程序员​ 发表

今年各处都在彻查网络安全问题。

对网络安全的强调已经到了刮骨疗伤的程度了。

阿里云发现了安全隐患却没有及时处理,这种风险是非常大的,放在以前,或许是一件可以罚款的事项,但在现在就是大问题了。

工信部是金字招牌,和工信部合作对云平台的发展是很强的一个背书。

但欲戴王冠,必承其重,很多人都觉得政府合作好做,但这个好做在于你产品质量差一点,也可以进入采购,但你在大是大非上不能出问题。

只吃红利不承担义务是不行的。

而且阿里或许也开始变得傲慢了,当上层领导觉得自己是皇帝的时候,觉得一点小事不配自己过问的时候 ,他就会遇到因为一个马蹄铁而导致失去一个帝国的灾难。

如履薄冰的耐性有多久,意味着能取得多大的成功。

在任何领域做到顶点都能获得巨大的成功,但越靠近顶点风险也越大。

阿里的外资是它的优势,也是它的劣势,它更容易导致其不值得信任。

每次扫黄都扫到它,你也没办法和它合作。

好奇谁会拿到这个空出来的位置,是华为云、百度云还是 360 云呢?

请在评论区写下你的判断(哦,没评论区了,啧啧~)

知乎用户 Van 静石​ 发表

本来以为 3.75 的,结果没想到直接 3.0 了,从天上到地下,这次肯定得有人要因此而离职了。

代码无国界,但程序员是有祖国的,这波处罚我觉得没毛病。

工信部在意的是压根没报告,只报告给了 apache,反馈给开源社区没问题,但是只反馈给开源社区那问题就大了。

但凡利用这个漏洞开始攻击,那这个后果是非常严重的。

作为搞 to B 的,这个觉悟都没有?那就不要玩了,何况你的大客户是……

你猜最大的订单是来自企业还是国家?在国内市场,能力不是第一决定因素,工信部不合作了那么肯定是有影响的。

不过话说,腾讯云都没发现有这个 bug,那…….

利好华为云!

知乎用户 miao 君 发表

反正我大一的时候,学的第一堂课是工程伦理。大四上的最后一个必修是网络安全与知识产权相关法律。我是不知道你们这些洗地程序大佬怎么那么多的理由和借口的?估计是学分低没技术的课都逃了。

这种恶性 bug,不第一时间报告国家,鬼知道有多少重要服务器已经被攻击了。

少他妈技术无国界,什么来源之类的屁话,你们这群洗地的有种就别留在国内。

码农便涨红了脸,额上的青筋条条绽出,争辩道,“开源组织不会窃听…… 窃听!…… 程序工程师的事,能算窃么?”接连便是难懂的话,什么 “谷歌不作恶”,什么“GPL 开源” 之类,引得众人都哄笑起来:水区内外充满了快活的空气。

知乎用户 蹬仁 发表

如果说阿里发现漏洞先报告国家,再通知 Apache,这算屁股红。

如果说阿里发现漏洞先报告 Apache 再马上告诉国家,这算技术牛,懂大局。

如果说阿里发现漏洞先报告 Apache 再规定时间内告诉国家,这算正常商业,无可厚非。

如果说阿里发现漏洞先报告 Apache 然后就不管,等 Apache 公布漏洞后,国家才知道,这就有意思了。

阿里到底是哪个国家的公司?这漏洞还不是小漏洞,范围大,影响大。他本着我是国际公司,开源的精神告诉了美国的开源公司,然后又没告诉中国风险,试问下,这算怎么回事。

联想在说自己是哪国公司的时候,还支支吾吾。阿里可以大声的说,自己是一家立足于世界的国际公司。

你觉得 Apache 不会告诉美国?从阿里告诉 Apache 到 Apache 公开,中间隔了十几天,十几天时间估计可以把网络玩个遍了。

阿里屁股一向比较歪,这也可以理解,买办资本家嘛。但这一波可以叫他明末晋商了

知乎用户 一只帅小羊 发表

真的是被刷新了三观,这里面评价的人估计都不知道 Log4j2 是个啥东西吧,反正就人云亦云,不外乎一下几种:

  1. 贴出最新的法规问为什么没按规范做,然后开始各种阴谋论
  2. 带了 “阿里” 字样就得喷
  3. 这个漏洞是阿里制造的
  4. 用什么开源的,全部国产,防止漏洞
  5. ……

很明显,节奏都带得很歪。

我想问几个问题:

1. 这个规范到底是如何落实的?还是说一直流于形式?为什么响应如此之慢?

2. 阿里属于合作单位,明显阿里没有认真对待,其他合作单位呢?

3. 上报的团队可能压根就不知道有这条规定,也没有想到影响会这么大,如果明确知道法规,他们会顶着法规瞒报?

4. 这只是一个开源组件,国内软件使用成千上万的开源组件,各种高危漏洞不在少数,而且大部分是老外发现的,该指责谁?

5. 国内各种所谓的高科技公司、云厂商、安全公司,你们在干什么?

最后明确一点,不知法不代表不违法,所以阿里明确存在管理不规范的问题,负一定责任不冤。但是,上升到各种意识形态是不是有点夸张了,弄的人人自危就是大家想要的?少做就少错,不做就不会错?

哎…..

知乎用户 Kevin.Yu 发表

我赞同公开漏洞细节,但是公布的太快,漏洞影响范围太广了,大晚上起来应急出补丁,第二天就往外推,我司还是有上百家客户受到了影响,被勒索病毒直接加密了文件。人直接就麻了,互联网要公开精神不假,给 Apache 报了 bug 之后,在通知下主管部门有这么难吗。阿里自己的业务线都没修复完漏洞,我司这种产品型公司更难受,补丁完全靠区域的实施推广,知道这个工作量得多大吗,人家拿着不高的工资,还得加班加点的干,慢一点就被勒索病毒攻击了,恢复起来更加复杂,真的希望大佬们公开漏洞之前考虑考虑我们这些菜鸡的感受吧。

知乎用户 wat4.me 发表

主要是阿里内部管理的问题,作为工信部合作单位,没有按照工信部要求的规程处理,受了处罚。没有必要上纲上线。

但另一方面,阿里现在暴露的管理问题不断,企业文化上的就不说了,基本的合作要求也管理不到位。

各方面的问题值得深思,各种业务濒临烂尾不是没有原因的。

知乎用户 Eonian Gooner 发表

我从投资的角度来说一下吧

隔夜中概股反弹

早盘中概互联也一度高开 2 个点

阿里巴巴港股大涨超 5 个点

今年买了中概的老铁们都知道……

年初至今,中概股的走势是这样的,今年最惨的板块,没有之一!

中丐互怜基金吧里的投资者们也早就坐不住了

我擦,割肉走了,丐帮灭帮之战
跑慢的粉身碎骨、尸骨无存
你大爷的,老子一直买入,分为三个 App,目前为止亏损将近 6 万,总计投入 64 万

一跌再跌、跌跌不休、跌妈不认……

终于,终于,终于今天有点儿反弹了

我心里刚开始有点儿高兴,要止跌企稳了?终于不跌了?要转向了?

朋友圈里看到有老铁的消息,TMD,今天总算有点儿挣扎的迹象了

心里本还在高兴,谁知道……

突然看到工业和信息化部网络安全管理局盘中发布的消息称,阿里云计算有限公司本来是工信部网络安全威胁信息共享平台合作单位。

近日,阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

经研究,现暂停阿里云公司作为上述合作单位 6 个月。

受此影响,阿里巴巴股价又开始跳水,从 + 5 一直杀到绿盘,截至收盘,最后微涨仅 0.88%。

基金吧投资者又坐不住了……

举报吧,太坑了
从来没有见过如此厚颜无耻之基金
反弹一天跌一个月,太吓人了![滴汗]

不过好在,盘后看了各位大神的分析,心好像总算安定了一点儿,好像不算是特别大的利空。

这个位置的中概互联到底怎么处理?

第一,下跌快 50% 了,不建议割肉,这时候割肉的我 tm 是真的鄙视。

第二,**不要盲目梭哈,**真正的大底不会是一个点,而会是一个区间,是多空双方充分交换筹码磨出来的底部。

第三,降低自己的预期,做好以时间换空间的心理准备。

还没啥仓位的,现在这个位置可以分批买,比如买好底仓后,每跌 3% 或者 5% 就补一次。
仓位已经买够,快没啥子弹的,就直接躺平~不想看现在就别看,过段时间看账户大概率会好看许多!

我目前的计划是每跌 3% 补一次,仓位上限 20 份,达到上限后,即便继续下跌也不再买,确保单一板块仓位不会太重,分散风险。

讲真,中概这一波真的跌得够多了吧?时间也够长了吧?到底啥时候才会反弹呀?

祝回本,祝暴富,愿花少的每一位读者 2022 年买的基金都大赚!

知乎用户 大富翁​ 发表

评论这件事之前,先看规定:

工业和信息化部 网信办 公安部关于印发网络产品安全漏洞管理规定的通知_2021 年第 28 号国务院公报_中国政府网

工信部关于网络安全漏洞管理规定

其中 第七条 (二) 明确规定:

作为网络产品提供者的阿里云:

(二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

也就是你可以报给 Apache,同时也要报给工信部。

同时阿里云作为 工信部网络安全威胁信息共享平台合作单位,更有义务尽早上报 工信部


当然,那么对于网络安全从业人员,需要注意几个关键点:

第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

解读:也就是你发现了漏洞,需要向提供者提交漏洞的。

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布。

**解读:**这条是针对产品提供者的。对 网络产品提供者 的规定是:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者

(二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

……

鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。

解读:也就是你提供给产品提供者之后,在提供者未有修补措施之前,不能在网络上公布。

认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

解读:如果你觉得有必要提前公布的,需要这么做。

知乎用户 iCoA 首席特工 发表

这不是有意针对阿里的,原因是他犯啦一个绝不该犯的低级错误。

作为监考,抓到舞弊,一定要向上报告,而不应当内部通报了事,就这么简单的事情。

犯错要认罚,认罚要诚恳。

知乎用户 二民​ 发表

成年人能不做选择,两个都上报

既然不难为什么不呢

知乎用户 liii 发表

程序是死的,但是程序员有自己的祖国。

在遥远的前几年,硅谷有个程序员发现了一个某个德国小众类产品所用的代码有一个不为人关注的 BUG,他直接就本着白帽子的精神就把那个 BUG 给反馈到社区了。

然后过了几天那个人就被 CIA 给办了,美国政府为此损失了几千万,并且还往中东增派了一批新的战斗机。

明白了么!

知乎用户 Po Wong 发表

没人说他报给上游有问题,有问题的是他没有 2 日内报给工信部。

《网络产品安全漏洞管理规定》(简称《规定》),并自今年 9 月 1 日起施行。期中第七条第一款,就是发现漏洞立即向上游产品提供者报告,也就是说必须立即向 apache 报告;第二款是在 2 日内向工信部通报。阿里报给 apache17 天后,apache 才对外公布;而工信部是 15 天后才收到消息,阿里云明显没有做到第二款,被罚活该。

知乎用户 sanbwsh 发表

阿里云和腾讯云被工信部约谈 年底冬姐提醒大家注意信息安全

知乎用户 有道财经 发表

这一定是谣言

毕竟阿里是高利贷公司,没有任何技术实力

知乎用户 delight​ 发表

这个问题,不是 “阿里吃里扒外” 被惩罚那么简单,它背后是工信部“杀虎儆猴”,借此树立 CNVD 的权威。

CNVD 的中文名字,叫做国家信息安全漏洞库,成立于 2009 年 10 月 18 日,由中国信息安全测评中心负责建设运维,为我国信息安全提供基础服务。

而中国之所以成立这个机构,是为了对标 CVE(全球通用漏洞共享披露)。

CVE 听名字就知道,是分享全球信息安全漏洞的,它自称国际非盈利组织,但由于是美国最早发起,所以管理机构在美国,管理层也基本是美国人。

之前的漏洞报送流程是,发现漏洞通报相关单位,提交给 CVE 。

但现在的规则变了,国内码农发现信息漏洞后,需要报送 CNVD,再由 CNVD 向 CVE 报送。

简单点说,就是多了道手续,不允许码农直接向国外平台提交漏洞,而是要先提报国内平台,再由国内平台提报给国外。

多个平台的原因也很现实:信息安全要掌握在自己人手里,漏洞发现后先得自己人知道,如果国外先知道了,某些不法分子可能利用空档期做小动作,甚至严重威胁国内信息安全。

CNVD 虽然重要,但由于建立时间不长,在业内远不及 CVE 普及和权威,所以很多码农不拿它当回事,发现漏洞后,还是下意识提交 CVE。

这次阿里的程序员发现漏洞后,倒也不是存心使坏,只是走了惯例,上面综合考虑后,处理上还是留了很大余地。

否则处罚绝不仅仅是暂停合作,而是巨额罚款,外加直接踢出合作单位。

但违背规则就是违背规则,挨打就要立正,想必阿里云这只大老虎被打,足够让其他云警惕,以后提交漏洞,恐怕没谁敢忽视 CNVD 了!

喜欢请关注,公众号:特例的猫

开号不久,均为原创,旨在分享有价值的观点!

知乎用户 特例的猫​ 发表

其实这个问题就是优先级的问题。

阿里云,遵循了行业规则对出现的问题,对于境外的开源平台公司优先进行了回馈。但是对于国内平台,却明显优先级低于境外优先级。

如果从政治角度讲,这就是一个基本的态度的问题。

虽然遵循行业规则,对境外公司回馈没有问题,但是至少应该同时对国内平台同时抄送吧??

如果阿里云是一台电脑,设置的境外优先级高于境内,那代表着什么??

如果有心人,利用这个信息的时差,利用这个外网公开的 BUG,对境内企业进行黑客攻击,那么后果怎么算??也许有人说人家哪个是开源的??那你的意思就是我们国内自身设置的合作单位平台,就是多此一举吗?境内企业不该抱团合作??

我们无法知道阿里云怎么想的,但是他至少可以看看他怎么做的。

工信部这个决定应该对于某些企业有一定的警醒作用。

知乎用户 知幾 发表

大家也可以想想自己的行业,有多少政府部门有要求,但是自己不清楚的,能把工信部一份十六条内容的通知,而且是不到三个月前颁布的,渗透到每个员工,不是容易事。

知乎用户 红尘昏鸦 发表

首先阿里云和国家信安部是合作方,乙方有义务在发现漏洞的情况下第一时间告知甲方。

还有洗地职业道德和政治觉悟冲突的,冲突你个 。

同时上报甲方和社区这两件事之间难道加了互斥锁的?

还有说不信任开源软件就不要用的人,我信任开源软件,但是信任不了利用开源软件的漏洞背后去使坏的那群人啊。这里面的逻辑都理不清,你要好好掂量自己的智商了。

“阿里云将该漏洞第一时间报给了美国 Apache 公司,并未向我国工信部报备该漏洞,且间隔 17 天后. Apache 公司发布补丁才对公众公布此事。(- 般公司产品漏洞的修复时间及发布补 J 不会超过三天) 在此期间,如果利用漏洞发起攻击,影响的范围堪比 2017 年 “永恒之蓝 " 病毒,当年的 WannaCry 勒索病毒,致使美国、英国、俄罗斯、中国等至少 150 个国家,30 万名用户中招。目前中美形式十分紧张,美对我网络攻击持续渗透中,国安、部委正在排查我国资产受否已受到境外攻击,造成信息被窃取或者服务器、系统被植入木马等损失。”

知乎用户 xxxfeng 发表

补充几个吃瓜吃到的细节吧:

1、阿里提交该漏洞后,Apache 软件基金会已将这一漏洞的业重性列为最高的 10 级,网安公司 Tenable 相关负责人直言,Log4Shell 是 “过去十年内最大也是最关键的单一漏洞”。

2、阿里云团队直到 12 月 10 日才发布最新预警,称发现 Log4j2 远程代码执行漏洞,按已知线索推测来看,也大约在这个节点,阿里云才向工信部报告了这一严重漏洞的危害性。

也就是说,阿帕奇针对这个漏洞的补丁都已经做出来了,阿里云团队才发出漏洞预警,这也导致期间 10 多天出现了一个可以被攻击的无防备真空期。

阿帕奇对漏洞做出预警后,**奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警。但是工信部这会儿还不知道这事儿,这不就很搞笑了吗?**我们政务系统、网站等对于漏洞的反应速度本身就不太快,再加上这 10 多天的空白期,相当于卸下了防备任由黑客攻击。

这里可能造成什么样的损失,谁能估量?

发现漏洞、上报开发者和上报工信部是两件不冲突的事情,但是阿里云只做了其中之一,就应当被警示。

知乎用户 互联网那些事​ 发表

报告漏洞不是小事。

Apache 基金会是美国在主导,漏洞优先报给美国

美国完全可以利用这个漏洞,入侵中国的关键数据系统。

等利用得差不多了,各个后门,肉机安装得差不多了,数据盗取得差不多了,自己的修复得差不多了,再公布出来。

这样会造成国家的巨大的损失。

像现在各种关键个人信息的业务系统,都运行在互联网上,数据安全不同于以前。

如果国内发现的漏洞优先都被美国撑握,对中国国家数据安全会有重大影响。

美国现在有专业的网络部队,完全可以利用这个公布漏洞的时间差,来做很多以前做不到,或难以做到的事。

知乎用户 find goo 发表

阿里云被暂停工信部网络安全威胁信息共享平台合作单位。

知乎用户 阿华同学 发表

大部分人没搞懂,现在对漏洞的管理已经有规章制度了 (成文日期:2021 年 07 月 12 日,生效 9 月 1 日),在这里:

三部门关于印发网络产品安全漏洞管理规定的通知_信息产业(含电信)_中国政府网

其中,第 9 条的第(一)规定,未修补前不能发布;第(七)规定,不能对非产品提供者的外籍发布。估计他违反了这两条。

但是看到有新闻引用第 7 条,那是错误的。这是对平台的要求,第 7 条是对产品的提供者和运营者。

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、
竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
(八)法律法规的其他相关规定。

知乎用户 铁匠老叔 发表

首先,这是阿里云明显做错了。发现漏洞后向产品供应方提交漏洞没毛病,但这么长时间不向工信部上报就离谱了,按相关消息,拖了 15 天之久就很离谱。

其次,这次处罚 (或者说不上处罚) 是暂停威胁信息共享平台合作单位资格。没有进一步的实质性处罚。既然阿里都不及时在平台上共享网络安全威胁信息了,那么被暂停资格很合理,这没得拗吧… 至于违反相关法律法规的进一步处理,期待

知乎用户 沪漂大叔 发表

这事不是很明显吗,阿里你报告上游不报告主管单位是啥意思呢。。偷摸摸搞吗,规定上又没让你不给 APACHE 报,罚的原因也是你发现之后不告诉主管单位,没说不让你高速 APACHE 啊

知乎用户 郭俊琪 发表

下面一群人屁股老歪了哈,工信部可没有禁止向 apache 报告,反而《网络产品安全漏洞管理规定》第七条中,第一就是立即向上游产品提供者报告,也就是说必须**立即向 apache 报告**;第二才是在_2 日内向工信部通报_。阿里云明显没有做到这一点,被罚纯活该

这个老哥说的好,

如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

有理有据,令人信服

如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

阿里报给 apache17 天后,apache 才对外公布;

而工信部是 15 天后才收到消息,apache 收到漏洞的 15 天里压根就没有通知中国工信部,那 apache 会不会告诉美国的相关主管部门呢?会吧。

阿里呢?又有没有通知工信部?没有吧。

高下立判……

知乎用户 Kevin 发表

这个东西属于技术人员和合规人员没有协调好。

政府有一些规章制度,下发给各个部门公司。

这些规章制度,往往是以部门名义下发,不是人大立法。而且这类通知是很多的。

往往一个机构的一个处,就能拟一个文件给全国下发。

关于印发网络产品安全漏洞管理规定的通知》是三个部门联合下发,级别挺高的。

这个东西是应该是中央部委下发给各地的通信管理局。

然后,浙江的通信管理局,再层层转发学习。

应该给到阿里的办公室机构

阿里的办公室机构,把这个文件发给技术部门。

然后,技术部门针对这个文件出细则。

规定,阿里云里面如果发现漏洞,怎么走程序,2 天内报给政府机构,这样才不违规。

但是,这类文件很多很多(中国有很多部委,部委有很多处)

7 月份中央下的文件,传到到浙江省,传达到杭州市,在传达到阿里的办公室。恐怕就 8 月份了。

是这个文件定义了 2 日内。

这个文件是否传达到阿里,阿里内部是否按照文件制定了细则,或者说是否收到这个文件都很难说。

到了技术人员发现漏洞的时候,一定不知道这个文件的,所以就直接报漏洞了。

因为以前的文件,只说了及时,没有定义及时的时间。

第二十二条网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

所以,这次就出问题了。

为啥阿里报了问题,十多天才出补丁呢?

因为这个 Log4j2 的维护者,是兼职用爱发电的。人家有全职的编程工作,捐助他的人,当时全世界一共就 3 个人给钱。人家也要吃饭,也有老婆孩子不是?凭什么加班加点三天给你解决问题?

没有那么多阴谋论。

这个事情,搞的沸沸扬扬没有必要。

这样搞法,以后就不要指望有人给提报漏洞了。

阿里发现的漏洞,自己补完了,让一个海外的个人通知上游厂商,不说是自己发现的,不就不用受罚了?

另外,要认清我们信息自主的成色。

如果禁用所有的开源软件,只能用商业闭源的东西,中国现在软件产业,能不能剩下 20%

如果,在规定闭源的不能用美国的东西,只能用本土的,估计是 0.1% 了。

几个软件是不用开源的东西,自己从头开始写代码,自己造轮子的?

靠一纸文件获取信息安全?只能骗骗自己和领导。

知乎用户 maomaobear​ 发表

政治觉悟太差了,涉及信息网络安全你不先让国家知道你想干嘛?更何况是美国的东西?至少你同时让国家知道也挑不出毛病啊!

看看英特尔,耐克,微软,思科以及参与棱镜门的苹果这些美国公司,政治觉悟多高,西方所谓的新疆问题关它们屁事?

国家不要求你做什么,但发现有可能对国家有损失的漏洞你不同时让国家知道?更何况国家本身就有法律名文规定的。和美国的这些公司相比较作为一家中国公司可以说连基本的责任都没尽到!

还有哪些拿开源项目来洗的差点没把我笑死!

知乎用户 nai 何 xin 善 发表

发现了很多居心不良的,故意引导舆论方向。

把不提前通知工信部被处罚偷换概念成国家不允许阿里通知 Apache。

问题是出在通知 Apache 吗?问题是出在,你发现漏洞以后只通知 Apache。

还有些质疑国家提前知道漏洞以后会去攻击美国。

血压一下子上来了。

合着这还能倒打一耙,我这是没想到的。

抛开国家概念不讲,单纯只说合作单位的概念。

既然已经是合作单位了,你不遵守彼此之间的协议,那我暂停你合作单位的资格不也是很正常的事情?

而且,抛得开国家概念吗?

阿里不是中国公司吗?

在发现一个可能会危害到国家安全的漏洞时候,第一时间想的不是在兼顾企业利益的同时也要保障国家安全?

无论是公民或者是组织都应该明确的知道自己有义务,有责任维护国家安全。

《国家安全法》第七十七条规定:公民和组织应当履行下列维护国家安全的义务:
(1) 遵守宪法、法律法规关于国家安全的有关规定;
(2) 及时报告危害国家安全活动的线索;
(3) 如实提供所知悉的涉及危害国家安全活动的证据;
(4) 为国家安全工作提供便利条件或者其他协助;
(5) 向国家安全机关、公安机关和有关军事机关提供必要的支持和协助;
(6) 保守所知悉的国家秘密;
(7) 法律、行政法规规定的其他义务。

知乎用户 等待下一个 180 天 发表

这件事严重性没有吃瓜群众认为的那么重,也没有阿里系码农认为的那么轻

知乎用户 乐终鸟徘徊 发表

不对呀!高赞在故意转移话题。

这个漏洞 12.9 号互联网圈子就传开了,12.10 头部大厂已经在做紧急应对措施了。阿里罚不罚自有法律陈述,但重点是,这么严重的问题………

工信部为什么 12.17 号才公布?????

  1. 能力问题。技术人员队伍拉胯,要优化
  2. 隔岸观火。置人民财产安全于不顾,要问责

知乎用户 醒醒喵 发表

阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。对此还希望尽快整改,以后绝对不能再出现这类问题了。

知乎用户 闹闹 发表

这其实是个悖论啊,说穿了就是每个人都希望先通知自己,晚点通知别人,美其名曰 “先别公开”

知乎用户 BangVan 发表

准备换华为云和百度云!阿里的东西确实感觉不安全了!有关于安全的东西都不要选背景过于复杂的企业。

知乎用户 出国签证办理阿水​ 发表

反映出阿里云安全团队至少在制度建设上存在失职,应该反思,其他团队也应该引以为戒,加强相关制度的培训。

向 Apache 汇报是因为一直以来大家都这么干,出问题了反馈给社区, 这个老的制度运行良好。

而新的向工信部网络安全威胁信息共享平台汇报,是一个新制度,可能相关安全团队从来就没被培训过相关汇报流程。所以安全团队按照老的制度反馈给社区后,压根就没想起来要给网络安全威胁信息共享平台汇报。大概率没有那么多阴谋论,就是疏忽大意。

只是这次 Log4j2 影响巨大,所以被拉出来做了个典型,这种问题是,早发现,早解决对阿里云和其他网络安全威胁信息共享平台成员都是有益的

知乎用户 黄先生​ 发表

一般出于职业道德,发现漏洞后肯定是先只通知提供方 (这里也就是开源社区),等解决方案出来后才会公布。这也是你使用开源产品,应该给予社区的回馈。吃饭砸锅,过河拆桥的人就不要说了。

但是,这个上报流程并不是非常严格的,开源组织也并不是管理严密的团体,上报给开源组织后,也并不能阻止开源组织的成员把这个漏洞私下分享 (只要别公开发布就行)。所以我认为上报给提供方的同时,上报给自己的合作方、下发给自己公司维护代码的员工,也是很容易理解的,并不违反职业道德。

所以我觉得最大的可能是,阿里的技术人员不知道需要或者如何上报给国家 (我在有人说出这个安全漏洞管理规定之前,也不知道有这个必要性)。如果真是这个原因,那我觉得阿里得到的处罚也不冤,因为不了解法规,本身也是不专业的表现。

知乎用户 libla 发表

公关行业的资深人士都知道,阿里在知乎是一直有公关团队的。

每当出现了阿里的问题,就会有一堆回答或评论在某个时间段同时出现

如果你列出证据反驳这些疑似阿里公关的人说的话,会有几个人同时回复你。

你花时间逐一回复他们后,他们就不会回复你了。

比如,上午的阿里问题,高赞回答是支持阿里的,你在上午回答批评阿里,半小时到 1 个小时内会有几个人在评论区反驳你,而且每个人的逻辑不一样,文字一看就是做宣传或公关或编辑的人写的

等你在中午一一反驳他们,下午或晚上甚至第二天他们都不会回复你了。

因为他们已经完成他们的工作了,“回答多少条,点赞多少个,评论多少条” 等等。

感谢这次知乎的评论区 “升级”。

回到问题,如何看待阿里云被暂停工信部网络安全威胁信息共享平台合作单位?

引用观察者网的信息。

11 月 24 日,阿里云发现这个可能是 “计算机历史上最大的漏洞” 后,率先向阿帕奇软件基金会披露了该漏洞,但并未及时向中国工信部通报相关信息。
随后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警,而中国工信部是在收到网络安全专业机构报告后,才发现阿帕奇 Log4j2 组件存在严重安全漏洞。
根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》,网络产品提供者应当在 2 日内向工信部报送相关漏洞信息,而工信部 12 月 9 日发现上述漏洞,距阿里云首次发现已经过去 15 天。

国家安全重于山!

知乎用户 Jay Yong 发表

看看人 INTEL 的政治觉悟,再看看阿里的,啧啧啧

知乎用户 孙纪 发表

其心可诛!其心可诛!

有些人说不严重,简单看看下面报道就知道多厉害了,这是永恒之蓝级别的武器级漏洞,美国有数千枚核武器,但不一定有数千个这样的漏洞。 这个漏洞对国家安全都有不小影响,发现了不赶紧上报有关部门,反而直接公布出去,所有的政府部门、企业一下就由主动变成了被动,从漏洞发布开始到所有企业单位修复好,他们将一直处于黑客甚至外国间谍攻击之中!而从阿里云 11 月 24 日将漏洞情况告知美国阿帕奇软件基金会到 12 月 9 号国家工信部得知情况,再到 12 月 17 日发布严重漏洞警告,这么长时间,黑客组织、间谍机构、美国网络战司令部能做什么??? 你猜!!!

还有杠 “开源精神” 的,问题是阿里云通知美国公司十几天之后工信部才得知情况的,而且他们两个还是合作单位! 这哪是合作啊,这是背刺

讲个笑话,中国公司发现的漏洞,中国某部门十几天后从公开渠道得知消息~~

有人说,美国公司发现了也会先通报大家,逗… 逗谁玩儿呢,这年头还外国的月亮圆呢? 谷歌 “不作恶” 被喷烂了好吧↓↓↓

多家网络安全公司的研究人员发出警告称,受最近披露的 Log4J 漏洞利用的影响,黑客已在过去 72 小时内发起了超过 84 万次的攻击。更糟糕的是,本轮波及全球的攻击并非无的放矢,因为别有用心者也将目光瞄向了苹果、亚马逊、IBM、微软、思科等知名企业。

Acunetix 工程负责人 Nicholas Sciberras 表示:“利用这个漏洞,攻击者几乎可以获得无限的权力 —— 比如他们可以提取敏感数据、将文件上传到服务器、删除数据、安装勒索软件、或进一步散播到其它服务器”。

与其他涉及某些部分软件的主要网络攻击不同,Log4j 基本上嵌入在每个基于 Java 的产品或 Web 服务中,手动修复它非常困难,由于修补的复杂性和易于利用的漏洞,除非公司和服务立即采取行动,通过实施保护措施来防止对其产品的攻击,否则这个漏洞可能将在未来几年内一直存在。

在漏洞披露后的几天里,至少有 10 个不同的黑客团伙加入了漏洞利用潮,全球大约 44% 的企业网络已经受到攻击。远程代码执行漏洞的大规模武器化促使美国网络安全和基础设施安全局 (CISA) 将 Log4Shell 添加到其已知被利用漏洞目录中。

知乎用户 天有涯乐无涯 发表

我建议我国的重点机构和基础设施的代码应该全部国有化,不能使用开源的组件。

开源的组件命脉捏在开源基金会手里,不能保证完全独立自主。在重大漏洞出现的时候可能不是中国的安全人员率先发现,无法做到自主可控,从而危害国家安全。

开源不一定会安全,未经过足够安全测试的开源组件会导致的危害会更大,所以我强烈建议我国抛弃阿帕奇,自己整一套。

同时也能避免万一是国外安全人员发现漏洞,而工信部无法管控的尴尬。

罚一罚挺好的,国内的安全人员需要有敏锐的政治直觉,国外的那种极客和自由精神可能不合适。

知乎用户 FDrag0n 发表

这次原因是 “未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理”,“暂停阿里云公司作为上述合作单位 6 个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。”6 个月是停止下限。

工信部关于漏洞的规定是:应立即通知产品提供者,应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

同时,阿里云作为工信部合作单位也应该同时通报这种情况才对。

云计算看来注定是个分散的市场,需要随时有替补厂商。从之前市场数据来说,华为,电信,其他厂商份额也提升。

知乎用户 北明数科​ 发表

网络安全类的工作是不能有半点差池的,以后的公司在这方面一定要提高警惕心和重视度啊!

知乎用户 随风飘摇 发表

看下时间点

11 月 24 日,阿里云发现这个漏洞,向阿帕奇软件基金会披露,未向中国工信部通报。

12 月 9 日,工信部收到有关网络安全专业机构预警。

需要注意的重点方面

1、国内发现信息安全漏洞是需要 2 天内通报工信部的,但阿里云并没有。

2、从 11 月 24 日到 12 月 9 日,整整 15 天阿里云还是没有通报工信部,可以得出阿里云并没有正视第一条。

3、这个预警是工信部从其他途径得知的。

4、这个漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。

15 天的时间不知道是不是有敏感信息被泄露,还需要看后续,是不是由技术事件转变为 zz 事件。

只能说处罚一点不冤,还有点轻,阿里这家企业可长点心吧。

知乎用户 古月天 发表

呵呵,这个漏洞先在中国人圈子里面传的, 准确地说是 12 月 9 日晚上 10 点某公众号。

当晚 (12 月 9 日凌晨)我躺床上拿着手机把苹果亚马逊领英全部测试了个遍,而洋人直到第二天晚上(中国时间)才反应过来,结果工信部 12 月 17 日才有反应(我用了百度搜索 gov 站关于 Log4j 漏洞的通报,最早都是 17 号),现在好意思问阿里云?

相比之下,美国那边,看这个链接

Apache Releases Log4j Version 2.15.0 to Address Critical RCE Vulnerability Under Exploitation

人家美国的网络安全和基础设施安全局 CISA,10 号就预警了

合着全世界都得跟着你们慢吞吞的步伐来?自己监测慢,怪人家按照全开源世界正常流程报漏洞的阿里云?这个洞要是是外国人外国公司发现的呢?要不要也制裁一下

代码不理权力,安全要靠自己。想要维护国家的网络安全,需要好好去尊重技术和技术人才,扎扎实实提升本国的技术和监测手段才是硬道理,而不是搞这些稀奇古怪的东西。指望这种行政强令去做,能管得到中国的安全圈,能管得到全世界的黑客吗,他们可不理你们

知乎用户 王凯伦 发表

对于高赞 “在 Apache 发布修复方案之前, 工信部先知情了又能做多少事呢” 不敢苟同

至少我看到的就有反向利用漏洞禁用 JNDI 查询

利用漏洞修复漏洞:青藤提供的「Log4j 命令注入漏洞(CVE-2021-44228)」【免重启】在线热补丁服务现已上线!

以及通过 WAF 防护

Mitigating the log4j Vulnerability (CVE-2021-44228) with NGINX - NGINX

两种途径,而这两种途径均不需要应用本身进行升级。


补充

中国程序员,发现 “近年来最大计算机漏洞”- 观察者网

根据这篇报道,阿里云 11/24 日就已经发现了报告,而在此以后的 12/10 日开始漏洞已经 “完全武器化”。于是我们看到了程序员半夜起来打补丁,Minecraft 被大量攻击。

相原龙:你都守护了什么啊. jpg

知乎用户 天上的八哥​ 发表

发现阿帕奇的漏洞的第一反应挺真实,想的不够细觉悟不够高,坦白来说这事跟我们买了个过期食品先跟商家说一样,但特殊环境下,阿里还是要提高觉悟力

知乎用户 吃瓜情报局 发表

阿里云被处罚了,我就想知道,工信部谁来负责?晚了一周才知道,这是谁的责任?是不是离了阿里云你就不活了?

知乎用户 谷哥哥 发表

这个真是笑死我了

前面说这个问题的重要性,一堆网友开喷,被罚了老实了吧

知乎用户 七月廿三日 发表

工信部这么做也有一定的道理,毕竟保障网络安全性的重要性不言而喻,阿里云隐瞒问题的方式有些不太明智,工信部暂停合作也是为了让阿里云明白在一些重要领域一定要实事求是,不过我相信,只要给阿里云一些时间,它的技术问题一定会有很大提升的,吸取这次的教训,以后努力做的更好一些吧。

知乎用户 既见君子云胡不喜 发表

首先 apache 是只一个开源组织,不仅仅只有美国人主导的软件。

第二今天计算机信息行业的发展,离不开开源组织

第三 apache 如果认为是美国人的企业,人家封杀你,比什么苹果,微软,甲骨文影响大 1 亿倍,不使用 apache 的软件,全中国 99.999% 的软件都要歇菜

知乎用户 咸吃萝卜淡操心 发表

log4j 没有同步报给工信部,然后工信部还是通过外部途径获知消息的。

不过处罚结果还是轻了点。

知乎用户 Issac 发表

强烈建议我国所有的软件都要自查,不允许再引入国外的库,全部自已重新写,防止国外的开源库威胁我国网络安全

知乎用户 外卖惠不停 发表

发现严重漏洞未及时报告,阿里云被暂停工信部网络安全威胁信息共享平台合作单位 6 个月

近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称 “阿里云”)是工信部网络安全威胁信息共享平台合作单位。

近日,阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

经研究,现暂停阿里云公司作为上述合作单位 6 个月。

暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。

11 月 24 日,阿里云发现这个可能是 “计算机历史上最大的漏洞” 后,率先向阿帕奇软件基金会披露了这一漏洞,但并未及时向中国工信部通报相关信息。

随后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行了预警,而中国工信部是在收到有关网络安全专业机构报告后,才发现阿帕奇 Log4j2 组件存在严重安全漏洞。

工信部官网截图

观察者网注意到,工信部网络安全管理局 12 月 17 日曾发布《关于阿帕奇 Log4j2 组件重大安全漏洞的网络安全风险提示》。

其中提到,阿帕奇(Apache)Log4j2 组件是基于 Java 语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云发现阿帕奇 Log4j2 组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。

12 月 9 日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇 Log4j2 组件存在严重安全漏洞。

随后,工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。

工信部网络安全管理局指出,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇 Log4j2 组件漏洞补丁发布,排查自有相关系统阿帕奇 Log4j2 组件使用情况,及时升级组件版本。

今年 9 月 1 日,为落实《网络产品安全漏洞管理规定》有关要求,工信部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。

平台包括通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网 APP 产品安全漏洞专业库、车联网产品安全漏洞专业库等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。

观察者网查询发现,《网络产品安全漏洞管理规定》第七条指出:

网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。

知乎用户 迷路时就往前走 发表

记得漏洞在作者修补完成前是不能公开的吧?防止在这期间有人利用漏洞。

假如阿里同时通知了工信部,工信部通知企业,企业通知技术人员,技术人员利用漏洞攻击别人,这咋整…… 国外要是知道了又找到借口攻击中国企业了,以后国内互联网企业也别出海了,都内卷吧。

感觉这是个黑暗森林猜疑链问题…… 唯一的解法是企业躺平,以后也别管漏洞了,让别人发现去吧,多做多错,不做不错

知乎用户 kevinfd2x 发表

从技术上来说,log4j 开源的,出问题第一时间肯定是上报社区吧……

看了下回答,10 个估计 9 个都不知道 log4j 是什么吧……

第一时间上报给社区很正常。出事估计是因为就压根没通知工信部吧

还有 开源不易 https://mp.weixin.qq.com/s/hoMYLGEDMMJCGL_Ezxda8A

知乎用户 VirtualR 发表

简单说说我的看法,虽然我也是圈外人

1、安全圈没有小白兔

2、0day 漏洞发现了,特别这次的 log4j 漏洞,其实是核弹级别的,其实一般来说往往是挖挖金矿,用完后再公布

3、普通的漏洞第一时间通知 apache 官方没啥的,这次的核弹级漏洞,通知 apache 官方,apache 需要测试,需要想解决方案,这个时间差其实够做很多事情了。特别工信部声称也是通过公开渠道才知道这个消息的,这对于国家来说很尴尬。

而且 apache 公布方案是深夜——可能对于他们来说是白天,这个也很尴尬。

最后,重复一遍,安全圈高管没有小白兔,阿里云估计起码要下台个副总裁谢罪。

对接 apache 是需要的,但是在此之前,第一时间和工信部、公安部沟通,更加必要。阿里云这么多高级安全专家,不会不懂这个事情的必要性。

最后我强调下:安全圈经常游走于灰色地带,所以对法律法规政治因素其实是很敏感的。包括很多安全届著名的攻击案例都是国战性质的(例如美帝对伊朗伊拉克的网络攻击)。这些都是写在安全教科书上,这其中还有阿里雇佣的安全专家写的著作

所以阿里这次难辞其咎,他们没有权力推脱我不知道我不敏感。

另外一方面,发现这个漏洞是阿里对世界的贡献,这一点也需要正确认知他们的贡献——当然其实有另外个可能是其他组织早就发现但是秘而不宣。对于宣布漏洞的组织,我们还是需要对此致谢和保持敬意。所以这个事情是两个角度看待。

知乎用户 下雨天打伞 发表

不知道的还以为报告给开发者和上报主管部门是有冲突的呢。

而且这处罚也不重啊,相当于一个小警告,有些人怎么就高潮了。

你没按规定办事,你不该罚吗?这个规定也早就出来了。行业从业者不需要知道新出的规定,就能从业了?

有些人啊甚至都不是行业从业者就急了。别急,你们的好日子还在后头呢。知不知道知乎评论区为什么在维护啊?

知乎用户 爱慕百特曼​ 发表

网络安全以及网络信息的保密性一直都是很受重视的领域,毕竟如果保密性不那么好的话,一些重要信息很容易泄露,那样的话带来的损失是不可估量的。

阿里云存在技术上的漏洞,被暂时叫停也是工信部为了网络安全考虑,与其承担着信息泄露的风险,不如先停止合作。

希望阿里云能尽快解决一下技术上的问题吧,这样工信部才能放心的把网络安全的工作交给你去做啊,而且我相信阿里云会尽快解决这个技术问题的,毕竟阿里云在这方面起步很早,发展到今天,一路走来积累了很多核心技术。

知乎用户 缥缈孤鸿影 发表

用开源精神来洗的,你没解释为什么没同时,是 同时 报告国内和相关公司?

这样相关公司第一时间出补丁,我们也会同时停用这个组件。没什么问题吧?

知乎用户 不系之舟 发表

我觉得让 Apache 先有时间检查漏洞发布修复是合理的。在 Apache 发布修复方案之前,工信部先知情了又能做什么或者想做什么呢(这个反过来想如果中国的开源工程被美国人发现漏洞并第一时间知会美国政府我们会有多被动)。如果 log4j 是工信部主要开发维护的,那自然应该提给工信部。不过,不清楚加入安全合作单位是否有员工发现开源漏洞必须立刻上报的前提,如果有,以阿里对政府关系的重视程度,应该不至于明知故犯。

使用开源项目本身就包含了我不认为这套代码不会有意加害或者勾连其所在国的政府来加害我的信任,如果没有这样的信任,在一开始就不应该引入这个开源项目。

知乎用户 安全员小王 发表

这个问题的回答告诉我们,只要加入了立场,搞技术的阅读理解能力和智商也可以降低到 0。

上面有人回答过了,保安发现门锁坏了,先报告造锁的,修好了再跟业主说,我要是业主,把保安解约 6 个月已经很照顾面子了,有损失的话让保安公司倾家荡产可能也赔不起。

知乎用户 nevermind​ 发表

其实,阿帕奇开源里面不少华人的名字的。。。

难道阿里被内部举报了?最近流行这个

知乎用户 一二三三二一 发表

阿里云做出了选择,并承受选择的代价。

选择了 “不报告国家”,也是选择的一部分。

知乎用户 春哥佑我 发表

6 个月暂停合作警告给了阿里云一个鞭策。但此刻更重要的是,中小公司反应慢的,还是赶紧把所有项目的日志系统过滤一遍吧。

知乎用户 酒胃仙 发表

看到评论里这么多为阿里云鸣冤的,感叹真是书生误国!

作为一个企业,理应有社会责任感,有担当。发现漏洞不先上报国内,帮助国内抵御风险,反而先給国外上报,以至于国内大批网站处于危险之中,这难道不该罚么?

可能有人说,上报 Apache 是标准流程。但是有没有人想过,这是在外国资本主导下的 “标准流程”,在阿里云等国内企业,成为行业巨头的当下,国内企业要有自己的远见,勇于对国外规则说不,承担建立“新流程” 的榜样。

希望阿里云引以为戒,以后多做有利于人民,有利于国家的事,不要把自己当成国外规则的附庸。

知乎用户 虎纹鲨鱼保护协会 发表

屁股歪了

知乎用户 萝莉饲养猿 发表

2021 年阿里还搁这用 Java 这种狗都不用的腊鸡呢。

这下爽了吧

[

《战地 2042》中国坦克手开 T28 坦克 9 分钟屠爆 11 辆日本玩家坦克 4K 光追超高

AMD 地球的视频

 · 795 播放

](https://www.zhihu.com/zvideo/1445553331506266112)

[

《战地 2042》大疆 C5 无人机炸弹侠 ATM 出动!炸美军 M1A5 坦克、泥头船 22 次

AMD 地球的视频

 · 5564 播放

](https://www.zhihu.com/zvideo/1445548596075040768)

[

《战地 2042》中国飞行员 ATM 开苏 57 暴打美国 F35、小鸟【4K 光追超高】

AMD 地球的视频

 · 826 播放

](https://www.zhihu.com/zvideo/1444791194925088768)

[

《战地 2042》中国坦克手 ATM 开 M1A5 坦克暴打美国玩家 14 分钟【4K 光追超高

AMD 地球的视频

 · 1397 播放

](https://www.zhihu.com/zvideo/1444457378955984896)

[

《战地 2042》C5 无人机炸弹人 ATM 出动!炸美军 M1A5 坦克 M5C 博尔特 10 次

AMD 地球的视频

 · 1851 播放

](https://www.zhihu.com/zvideo/1444449356426932224)

[

开箱吊打 A 炮的微星 MSI RTX3080Ti VENTUS 万图师 OC 显卡

AMD 地球的视频

 · 38 播放

](https://www.zhihu.com/zvideo/1441895805775474688)

[

英特尔 12 代酷睿 i9 12900K CPU,AMD 中国用了都说好!【4K】

AMD 地球的视频

 · 4023 播放

](https://www.zhihu.com/zvideo/1438975503985823744)

[

《战地 2042》征服沙漏 卡塔尔多哈:中国特工 ATM 开 M1A5 坦克屠杀高级 AI

AMD 地球的视频

 · 1001 播放

](https://www.zhihu.com/zvideo/1442976078498910208)

知乎用户 AMD 地球 发表

强烈要求工信部自己动手,丰衣足食。

不要搞得 log4j 还要用开源的,自己弄一个完整知识产权的多好,打破外国垄断,增加国内就业,提高人民的自豪感和幸福感。

知乎用户 William​ 发表

这件事能看出来阿里的文化有一点江湖气味浓,不把政府当回事。

侠客都是行走江湖,不管法律的大侠。

也能看得出来以前他们的做事有多目中无人。

可惜,现实不是武侠。

知乎用户 菩萨畏因​​ 发表

阿里发现漏洞,报告给阿帕奇,美国就得知了漏洞,此时中国所有大公司(除了阿里)都面临高危风险(包括很多军工保密单位)。中国处于完全被动状态,阿里和美国掌握主动权,此时美国窃取中国信息轻而易举。

如果阿里先报告给政府,可以保证中国所有大公司都已知了风险,不会那么的被动。

信息时代,微小时间差就会产生不可估量的数据泄露。

不要说什么开源精神,国家利益高于一切,看看英特尔不用新疆产品,你能有啥反制措施?log4j2 漏洞这机会千载难逢,被阿里断送

知乎用户 MakeRoomFor1 发表

这个问题底下的回答写满了忠诚。

知乎用户 与梦同开 发表

作为云计算从业人员,也比较熟知开源领域。

我大约在 12 月 13 日就从阿里云 SA 得知这个漏洞,但直到今天上午,还是通过同花顺软件我才知道这个漏洞的严重性。

对于开源从业的技术人员,发现漏洞,第一时间的确是会反馈到社区,所以我初步猜测应该是发现漏洞的安全技术人员 / 团队没有认知到事情的严重性,毕竟安全团队每天都会发现很多漏洞,或者说对于安全类管理机制流程不健全,再或者企业内部对工信部法规宣贯不到位,一线的技术人员不清楚,这个法规也刚正式实施不久。

工业和信息化部 网信办 公安部关于印发网络产品安全漏洞管理规定的通知_2021 年第 28 号国务院公报_中国政府网

我觉得这次处罚对阿里云,对行业,对安全圈都是件好事,一来加强安全类法律法规的宣贯,二来其实也侧面提高了阿里云在行业里的地位。

知乎用户 项目经理职业生涯​ 发表

这个问题下的评论,充分体现了外行看热闹,内行笑一笑。以点及面,可想而知平时一些人关于其它事是如何糊弄普通人的。

知乎用户 名字 发表

事实可能是

公关那边加进了这个合作平台

技术那边提交了 BUG

公司大了 谁知道该做啥

知乎用户 lin​ 发表

认为阿里云这个事儿没有什么问题。

1)apache 开源软件的漏洞第一时间报告给 apache,有助于及时安全升级。

2)报告给主管部门,除了让更多人知情并扩大利用几率外,益处有限。不认为所谓主管部门有协调国内软件安全升级的能力,也想不到主管部门如何在做到保密的同时通知国内的相关利益方。

3)不需要把所有的事儿都往国内国外的对立上扯,说这种话的人非蠢即坏带节奏,目前国内的 it 行业还离不开开源软件。

知乎用户 懒人王 发表

做个不恰当的比喻

就好比你发现你家门没锁,你不告诉你爹先告诉隔壁老王,这半个月门就一直开着,半个月后老王才告诉你爹,你爹现在抽不抽你屁股?

知乎用户 杜兰特 发表

某种程度上这也是理工神学崇拜的结果。

理工实干对吧。

有时候这是强调主权存在的场合。你满脑子啊凯撒的归凯撒,代码的归代码。

这不就完犊子了吗。代码的不归代码。

知乎用户 英伦望月 发表

其他的不说,按规定第七条出漏洞的产品提供者的义务,那作为 log4j 的提供者 Apache 要向工信部 2 日内通报,作为一个第三方阿里云,遵守第六条,积极向产品提供者 Apache 报告漏洞,没有问题。所以只能说国家如果希望漏洞发现都上报工信部需要升级一下这个规定。

知乎用户 沈某某​ 发表

中午刚看到新闻,没想到下午就上热搜了。说一说我的看法。

其实这个问题一句话概括本身是处理问题的过程出了问题,就是阿里为什么不向合作单位的工信部也汇报这个严重的安全漏洞。为什么要拖?直到被工信部发现呢?这才是我们想问的。

在我看来,其实是管理出了问题。这里面就是很有想象的空间了,基本有三种假说。

第一,就是疏忽。完全忘了?或者觉得等事情解决再告诉工信部?又或者今年内部负面太多,想压一压?在我看来最可笑也最有可能,因为往往是一个意外可以让事情看上去更加扑朔迷离。

第二,阿里 “内鬼” 说,这种观点认为,阿里就是想瞒住,让这个漏洞造成更大的损失,或者是等造成损失,自己再扮演“救世主”。这种假说非常荒诞的,基本上前后矛盾,就是像阿里自己制造这样的一个漏洞,在我看来完全就是“美式思维”,大家一笑而过就好。

第三,职业素养说,大概就是这样的漏洞我报告给工信部有什么用?他们又不懂,没有人比阿帕奇更懂,所以阿里肯定是报告给懂哥阿帕奇,这样问题才能解决。这种假说也是可笑之极,就好比现在有一个危险要发生,我只需要跟能处理危险的人讨论,广大受影响的群众我都不用跟他们提醒一下,以免出现危险一样可笑。既然跟工信部是合作关系,发现这种情况当然有必要报告一下,这时候摆出一副职业素养教育我这样做,这不摆烂嘛。这种假说可笑的地方在于,一部分自认为技术很好的人会对这种假说产生同情。好像弄得觉悟和素养不两立一样。

最后,我想说的是,这件事并没有想的那么严重,但也绝对没有像一些人说得那么轻。这件事释放的一种信号很明显,阿里已经渐渐失去人民群众的信任和政府的信任。

处罚说得很清楚,暂停 6 个月的合作,根据阿里云公司整改情况,研究恢复其上述合作单位。给了阿里云一个余地,没有打死,但是决定权在谁手里,很清楚。你阿里云不干了,腾讯云呢?华为云呢?虽然在云上,阿里的份额还占着第一的,可是一家独大,参照阿里现在的管理情况,恐怕是没几年咯。

至于阿里为什么会成如今的情况,恐怕是跟企业文化出了大问题有关吧。今年,阿里注定是流年不利了,明年呢?会不会有新的转变呢?

知乎用户 汤圆 发表

1. 工信部针对网络产品安全漏洞管理办法的条例规定就好,上面明确了应立即通知相关产品提供者,也就是可以立即上报 apache 基金会,还应该在两日内上报工信部,甚至可能作为信息共享合作单位有发现漏洞立刻上报的前提,apache 基金会收到阿里漏洞消息两周后也没有通知相关部门,很明显阿里没有根据规定去做,被罚也完全不冤,毕竟一意孤行先报给了 apache 基金会,两周后工信部才得知,谁也不能保证期间被人利用漏洞做坏事的可能。六个月的处罚对阿里云的影响说大也不大,说小也不小,仔细琢磨吧。2. 换个通俗易懂的吧:就是这么事。家里小孩发现整个小区的门锁都坏了,不用钥匙就能进门。可是小孩没有通知家长,家长要是知道了就是不会修也能额外加把锁吧。小孩直接去告诉物业了,物业研究后拿大喇叭对外面广播:我们小区的门锁都坏了,谁都能进。修锁的方法贴楼下了,就看你业主自己修锁的速度了

知乎用户 稻香 发表

我觉得,

如果真是这样,

那这所谓合作单位头衔不要也罢。

我的认知是遇到这种 0day 就要减少知道的人,

告知你单位是能修 bug 还是你能干什么?

除开开发商一概都不通知才是正确且道德的做法。

知乎用户 云中君 发表

罚的也没啥问题,确实违法了规定,而且也就是象征性的罚一下,即使上报了也做不了什么。

就是这么多上纲上线的挺厉害的。确定发现 bug 的技术团队知道还有这规定?

怕不是好些业务团队的人都不知道吧。

这还是阿里发现的。要是外国不法分子发现的,那怎么办呢?

知乎用户 Jansen 发表

国家安全面前无小事

知乎用户 Tech​ 发表

近日,阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

阿里不是号称几万人吗?合着都去修 bug 了,连发个告知函都的人手都没有?

著名的 “阿里没有甲方” 玩漏了呗,就一商人真以为自己是钢铁侠呢。

微博洗地洗的跟阿里被怎么着了似的,要不是接触过我还真就信了。

纯粹的傲慢,信不信由你,他们平时也是这么对市级(不包含超一线及一线城市)政府和各大国企的。这要是一般小甲方直接一句 “不是没出事吗,爱用用不用【消音】”,可惜了这次没人惯着他。

知乎用户 Moriarty 发表

你拿着工信合作单位的头衔,拿着国家的大量订单,吃着中国广大市场的红利。接受主管单位的监管,维护甲方利益,是你的基本义务,而且这个信息上报通道不是今天才建立的。

暂停 6 个月没有更严重的问责,也只是考虑到不想打击民营企业主动发现报告安全风险的积极性吧。

知乎用户 桃子 发表

这只是众多开源软件 0day 中某一个,而且只是刚好被阿里发现,这个世界上不是只有阿里有能力发现这个 0day,国外也有一堆网络安全公司,一大群网络安全从业人员,阿里公开某一个只是冰山一脚,其他安全公司未公开,未发现的才是最大的安全隐患,而想解决这类隐患,目前只有两种方法:一是不用这些开源软件,二是建立可靠的网络安全响应机制。国内可以约束国内公司,但国外公司又能怎样,这样的 0day 还有很多,不从根本上解决问题,下一次还是一样。

知乎用户 71ao 发表

要不把阿里关了吧

知乎用户 Nemo 发表

既然阿里云之前选择了和政府部门合作,这种重大安全漏洞最起码应该同时告知政府相关部门。

停止合作就是字面意思,既然选择了和政府部门合作,有些原则就应当遵守,而不是仅挂个名。

开源,对有些人来说代表着互联网精神,但对另一些人来说就是一门生意。

开源,并不代表着绝对的正确,本质上是利益驱动,有些人图名,有些人图利,各取所需。

知乎用户 不工 发表

也没让你瞒着 Apache,你可以同时汇报啊。

知乎用户 阳光是金色的​ 发表

2017 年 6 月 1 日起实施的《中华人民共和国网络安全法》第二十五条明确规定 “网络运营者应当及时制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”

2021 年 9 月 1 日起施行的《网络产品安全漏洞管理规定》第七条:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

看,上述规定并没有不让他联系阿帕奇软件基金会,但没有及时上报工信部,这事没得洗。再说了,发现这可能是 “计算机历史上最大的漏洞”,知道这可以让黑客无需密码就能访问网络服务器,还不上报,这是什么脑子呢?!

知乎用户 芳奎 发表

公司倒霉起来,做什么都是错的

知乎用户 滚滚游侠 发表

阅读理解:所以这种共享组织 只要加进去潜水就好了 发现 bug 也不要跟任何人说 自己偷偷修好或使用就好了

知乎用户 猪尾啦​ 发表

忠诚不绝对就是绝对不忠诚

知乎用户 茜茜 发表

阿里果然是美国的狗腿子,要我说罚得还不够狠,再掏 100 亿出来才好。简直是毫无安全意识,就好比造车的公司,发现刹车配件有问题,只通知上游供货商不通知顾客一样。

知乎用户 阮灿​ 发表

阿里里应该有好几个 50w,不过这个可能需要红客才能找出来,普通百姓真抓不出来。

知乎用户 韦缠 发表

一个个回答屁股都如此之歪?都是阿里的自己在答吧。工信部有说上报 apache 有问题吗?从上报到官方公布漏洞修复方式有多长时间?明明可以同步或者稍微延迟上报工信部来避免重点单位不受到攻击。如果只报给 apache 谁能保证 apache 不会先报给美国 zf,美国在漏洞修复方案公布前进行攻击呢。明明有更周全的解决方式确没做到位,还拿开源精神出来洗地,牛头不对马嘴。 是因为上报 apache 导致处罚吗?是吗?

知乎用户 叽鸽​ 发表

多做多错, 能者踢出去, 庸者留下, 当前双输局面.

-—— 晚上梳理后补仓 ——–

阿里错在一直不够积极, 而不是这一次的问题; 把锅全部归咎于 常年都很少参与的合伙企业, 也不是正确做法.

相关部门也明显有引导方面的失职 (阿里 / 腾讯这种单位长期每周 1~2 个提交, 某些企业 8000 + 每周的提交, 这个生态是正常吗?)

@Henry Ge

已经梳理了时间线

关注 11-24 阿里提交 apache 后的时间

这基础组件的 0day 的漏洞, 验证影响以及修复到 12-06 才完成, log4j 发布 2.15.0; (如果在没有解决方案前大范围公开, 0day 的漏洞造成的全球损失会更大)

CNVD 漏洞周报 2021 年第 49 期 2021 年 12 月 06 日 - 2021 年 12 月 12 日 这个周期 显示阿里提交 2 个漏洞 , 其他时间阿里 / 腾讯基本无提交

然而修复并不完全 (3 个兼职的在维护 log4j), 在 12-9 工信部确认解决方案后 10 号上午发了公告后 , log4j 还是接连出现多个漏洞, 这几天 IT 人员忙得热火朝天

-———————

发现漏洞第一时间找源代码作者 确认影响的版本 跟补漏洞方案, 很合理, 有了明确影响范围 跟解决方案后去跟 合作伙伴 (领导) 汇报

好奇那些没有发现漏洞的合作单位又怎么处罚呢?

可能理由:

  1. 第一时间跟第二时间 中间 间隔了很久? 新闻原话 [未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理]

时间线找时间梳理看看, 漏洞号

CVE - CVE-2021-44228

知乎用户 萝卜坑 发表

11/24 阿里云安全团队向 Apache 汇报
11/26 CVE 预约
12/05 问题开放
12/05 修改 PR 合并
12/06 2.15.0 发布
12/09 阿里云发布警告文章
12/10 国家信息安全漏洞共享平台(CNVD)收录了 Apache Log4j2 远程代码执行漏洞(CNVD-2021-95914)
12/12 工信部开会
12/17 工信部发文警告

12 月 9 号,美团遭到攻击,美团众包无法使用。

实际上在 12 月 14 日左右,国家防火墙就发挥作用了,攻击流量在运营商那就被洗掉了。

知乎用户 Henry Ge​ 发表

在此之前我都不知道发现开源项目 bug 要先向工信部报告的,在座的各位有知道的吗?

阿里卖国都来了。

知乎用户 不必等待炬火 发表

问题的性质相当于两军对垒的时候一方给另一方开了后门,这怕不简单是觉悟的问题,但凡是对网络战有一点点了解的人怕都不会觉得用 “卖国” 来定性过分。杭州这个地方需要动刀子了,太崇尚资本自由了,太喜欢按着老美的规则走了,这样的跨国巨头这样的技术团队,宁可不要。就像你有一把刀,但刀柄没有握在自己手里

知乎用户 中秋吃汤圆 发表

这个回答下面怎么这么多歪屁股,点开这些人的主页,哦豁,结果在台湾问题,南京大屠杀问题下面也是这样阴阳怪气, 结果还那么多人给他点赞,吐了。

知乎用户 江山鸟飞回 发表

看了这么多回答,我还以为上报软件公司和上报国家是两件互斥的事那…

知乎回答的逻辑水平已经这么低了吗…

知乎用户 积跬步 发表

说白了这玩意谁能想到还要报呢。大概率是技术团队和其他部门的沟通不充分,技术部门通过技术渠道报告了作者,没有通知其他部门。

我看到好多人列出了相关规定,怎么说呢,规定这种东西就没几个技术团队关注的。

如果嫌麻烦的话,以后发现了漏洞以私人身份报告就行了,当然了也可以走一遍流程。至于以后大家怎么选,这就仁者见仁智者见智了。

知乎用户 休息 发表

我虽然是个外行,但当初发现的新闻出来,我就奇怪了,为何先通知国外。第一时间我就这样想了。

当时我想应该是我不懂多想了,新闻也很光明正大的报道,还有一丝自豪感,毕竟中国发现的,是正面的新闻。

但今日看知乎,原来还有这后续,证明了这不是我多想了。看网友的回答,一堆什么合理,反驳。

但是,我一个外行,第一时间都感觉到不妥,上报外国的人会是无意的吗?就这点,就该查,该罚。

知乎用户 胖胖 2020 发表

这事儿阿里做错了,该罚的罚,但是没必要上升到「背刺」或者「卖国」,只能说以后要加强合规教育和培训

知乎用户 能妹的成长笔记 发表

Log4j2 是开源系统,不光国内用,国外也用,不光阿里用,其他几个巨头也用,都没有发现的情况下,阿里发现了,第一个想到的是解决问题,去给产品提供者反馈,只是没有向工信部报备,但这个应该罚

知乎用户 热点政事儿 发表

阿里这操作相当于保安发现业主门锁坏了,先通知锁厂,而没通知业主。

物业只是把这保安停职算轻的处罚了。

知乎用户 有錢沒錢回家過年 发表

你知道他知道你知道的,但是他就是不想知道你知道的。

他非要知道自己知道的,感觉自己知道的比你知道的还要知道。

一、反驳 “反驳 “不应该立即通知 Apache 方 “的观点”

棱镜计划PRISM)是一项由美国国家安全局(NSA)自 2007 年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为 “US-984XN”。英国《卫报》和美国《华盛顿邮报》2013 年 6 月 6 日报道,美国国家安全局(NSA)和联邦调查局(FBI)于 2007 年启动了一个代号为 “棱镜” 的秘密监控项目[1],直接进入美国网际网络公司的中心服务器里挖掘数据、收集情报,包括微软雅虎谷歌苹果等在内的 9 家国际网络巨头皆参与其中。

首先你能保证 Apache 方不会通知美国政府,然后就是美国政府可能会利用这个漏洞,最后国与国只有利益。

2021 年,在目前中美关系急剧变化的时期,在美国不断刷新底线的时期,很难相信美国相关机构不会利用这个漏洞?


二、反驳 “反驳“多做多错,能者受罚” 的观点”。

这个说话有问题,多做多错,能者受罚,这个观点是错,

但是问题是怎么做的?你家邻居看你过得好了,就想占你家便宜,结果家里出现一个反骨仔,从狗洞里给邻居家递刀子,你说怎么办??

一天不挨打上房揭瓦,欠揍!


三、反驳 “反驳“考验政治觉悟和职业素养的取舍” 的观点”反驳。

相当火星公司,那就去吧,天要下雨娘要嫁人,随它去,但是走不掉,就要有政治觉悟。

别吃着碗里饭,砸娘里锅。

知乎用户 清风昨月 发表

说多了还是我们的技术落后,国内基本都用着人家的开源软件,落后就要挨打,挨打立正奋起直追就好。如果开源社区是国内的平台,不就没这事了吗?这是个警钟,指不定人家手里还握着类似 Log4j2 的漏洞,当务之急还是多多重视国内开源社区的发展才是王道,而不是拿着大棒在那里挥。

知乎用户 游然 发表

一、

可怜知乎被罚,这个问题底下一些打着安全从业者的旗号,回答的乌七八糟的人都有一份责任;

二、

当然了,有些 “安全专家” 或许就不是中国的安全专家也说不定呢。

三、

当你指责一个东西,起码你得了解这个东西。那么就可以分为两方面,

+1

从规章流程上说,阿里云应该立刻报告 apache 并在 2 日内报告工信部是规章制度规定的,你们这些叫冤的 “安全专家” 莫非不懂规章流程上的中文字的意思?

+2

从人性态度上说,你们认为阿里云不汇报工信部理所当然,是你们认为工信部的相关规定都是无效规定,你们日常工作中都不遵守吗?

那么我们归纳总结一下,反对这项处罚的人,出发点有且不只两个:

出发点 1:

要么你们作为 “安全相关从业者” 根本不了解规章制度,简言之,水平极差;

出发点 2:

要么你们作为 “安全相关从业者”,日常遵守美国法律法规,无视中国法律法规。

你看看,你们自己认领哪一个?我不知道以上 2 个起因,你们认领哪一个对你们会是正面评价。

知乎用户 斯帕不爱卷​ 发表

罚的好,罚的还不够重。

这个时间差,如果在网络空间军事对抗上足以造成重大战损了。考虑到现在紧张的形势,以及前一段时间各种关键基础设施单位信息泄露事件,非常有必要进行强力监管。这个时候不要谈什么社区和开源精神,这是事关国家安全的事情,事关上至国家主权,下至十四亿人数据安全的利益。

外行不要瞎解读和洗地,特别是某些大 v。漏洞管理规定只是合规体系下众多法规的一个,阿里云应该也是工信部管辖的关基保护单位之一,网安法、关保条例也都适用,所以我相信工信部也有对阿里云具体的、基于以上上位法的、背靠背的关基保护管理要求。如果说提交漏洞的人没学习过这些制度或者说对自己的行为有个所在行业地区合规框架下的预期预警,那我只能说第一他不配继续从事网络安全行业,第二阿里云的治理体系还是有管理漏洞。

多说一句,漏洞是国家级的战略资源,不止是武器层面,我想更重要的是情报和对抗防御层面。想理解这句话如何实践去看看对面是怎么做的就行,不妨先去找找国外几个顶级安全赛事的资助方和发起方都有谁。

知乎用户 星辰音乐馆 发表

不需要过分解读

阿里云被暂停工信部网络安全威胁信息共享平台合作单位,暂停的原因是因为:近日阿里云公司发现阿帕奇(Apache)Log4j2 组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。

也就是说违背了 “共享” 两个字,没有及时通报应该是这方面风险意识不过关的原因,而是想先解决再通报,或者不通报,那说不好,都有可能。为什么会这么操作,可能觉得修补好了再公布更能体现自己的技术?又或者是修补好了根本没打算通报,这是个安全意识,一般情况下不会犯这样的问题,也或许是觉得没必要,这是意识上的问题。

之前阿里也不是没出过这种意识上的问题,说白了,决策者可能没察觉到问题,下面的人可能意识到但是也没发声,或许也没意识到。但是这种事,提醒了一次以后就会好很多,毕竟吃一堑长一智。

总之,过分解读没必要

![](data:image/svg+xml;utf8,)

知乎用户 IoT 砖家涂拉拉 发表

人民网北京 7 月 13 日电 (赵超) 工业和信息化部、国家互联网信息办公室、公安部近日联合印发《网络产品安全漏洞管理规定》(简称《规定》),并自今年 9 月 1 日起施行

《规定》提出,鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

《规定》明确不得将未公开漏洞提供给产品提供者之外的境外组织或者个人等八项具体要求。

知乎用户 AntiTopQuark 发表

这就是工程师想法吧,发现一个重大 bug 反馈给开源社区多开心阿,但是对方时隔 17 天才公布并打补丁,期间如果老美利用这个漏洞攻击,后果就不说了。

工信部属于阿里云的大客户,阿里云在反馈给开源社区后的 2 天内要把这件事反馈给工信部,但是它没有,所以属于违约。

这波阿里属实是安全意识不够了,这个觉悟真的太低了,我不管你的资本是国外还是注册地在什么开曼群岛,你在国内的土地上工作,有这么多国内员工,那么多政企大客户,这个心里没数吗?

阿里云的 GR 部门应该被吊起来打。

社区的包有问题,第一反应是反馈给社区,安全工程师已经完成了他能想到的各个渠道的信息上报,而给工信部上报应该是 GR 部门的责任。

毫无疑问,这波肯定有不少人要因此离职的。

还有人说反馈给工信部有什么用?我觉得挺无知的,你真的低估了国家队的技术实力。

不过,腾讯云都没有发现这个漏洞…….

知乎用户 李启方 发表

如果是甲方以乙方不遵守合约为由那没啥好说。如果是像一些带节奏的回答说这是把开源社区规则置于 “国家安全” 之前,我觉得这是一个非常狭隘和短视的说法。

首先国内互联网产业能在 20 年飞速发展,在 20 年前基础软件甚至应用软件开发能力都十分薄弱的基础上,在短短时间内支撑起庞大规模的业务,并具备了一定的基础软件定制开发和自研的能力。最大的贡献就是来源至开源软件和参与了开源社区。说其为产业基石也不为过。

商业公司不可能脱离开源社区独自发展,老实说我也并不觉得大部分政府部门可以不依赖开源软件。如果非要把这两者对立起来,长远看最终伤害的还是自己的产业。

知乎用户 易旭昕 发表

这个问题很好,我又丰富了我的黑名单。

部分程序员真是一个高傲又自大,难成气候。

知乎用户 三十不举​ 发表

看了某高赞的回答,我还以为报告给主管单位和报告给 apache 是对立的呢

知乎用户 undefined 发表

二十章告诉我们,学问之道就是 “绝学无忧”,一切都放弃,把所有的知识、所有的观念等等都放下,丢得干干净净,进入无为之道的境界。理由就在这一章里,说得很清楚:“为学日益,为道日损,损之又损,以至于无为,无为而无不为。” 刚才四十七章提到,这一种修养,可以做到秀才不出门能知天下事。修道的人,光是能知天下事太不够了,要超越一切形而下的境界,必须先要做到清净无为。

“为学日益”,什么叫学问?学问是靠知识、读书、经验,一点一滴慢慢累积起来的。今天懂一点,明天再懂一点,后天又懂一点,多一分努力就多一分的收获,这就是做学问。人为的学问是有为法,是有为之道,要慢慢累积增加起来,不是一步登天。

“为道日损”,学道与做学问相反,是要丢掉,“日损” 就是一天丢一点,明天再丢一点,什么都要放下丢掉。修道的人,经常笑自己,一方面有欲望学道,一方面又不肯放弃读书,爱读书就是最大的欲望。

清朝有名的历史学家,也是诗人的赵翼,讲作诗作文章的道理,他说 “穷而后工”,如果希望诗文做得好,必须是经历过苦难倒霉。环境越穷,文章诗词越好,千古的文人,好的文学家都是倒霉人。这并不是运气的关系,而是人到了功名富贵没有,人际关系也淡薄,复杂的事情就少了,坐在那里也没有别的事情做,专想那些尖酸刻薄的辞句,诗文当然就会好。等到得志以后,一切情绪境界改变,文章也写不出来了。就算偶尔有个意境来,刚提笔要写,部属又来请示,他喊了一声报告,又把那个意境赶跑了。所以,文章学问,的确是 “穷而后工”,这是中国千古的名言。

》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》》

知乎用户 洛亦仙 发表

技术人员发现问题以后,想到的是解决,也就是联系提供者,但是少了觉悟,还是要向工信部报备的

知乎用户 初安故人 发表

阿里云有苦难说

感觉这么搞下去又要来一次网络安全人员大规模出走了。

知乎用户 哈哈哈​ 发表

阿里:又少了一波破事情,不用搞什么信息共享了【狗头】

知乎用户 DVK 发表

看完全过程,认可评论区有个人说的,谁能在一开始就上帝视角完美处理好呢,事后风凉话谁都会说,立定改正才是正解

知乎用户 liuliuqiu 发表

XXX 公司于 20XX 年发现某中国开源工程重大漏洞,并第一时间汇报给美国政府和开源组织。

请问广大网民是不是要来一句:你汇报给美国政府是何居心?吃着 XX 的饭砸了 XX 的碗?

对待相同的事情请拿出相同的标准出来,学什么不好非得学双标。

6 个月暂停合作,结果就在这了,上次直接百亿罚款伺候。

知乎用户 咸鱼 发表

那个高赞,赞他的都是啥人啊,搞笑呢吧。

最简单好用的 VPS,没有之一,注册立得 100 美金
comments powered by Disqus

See Also

如何看待网信办通知应用商店下架滴滴出行 App ?

知乎用户 经济观察报​ 发表 史无前例 国家网信办不会在没有证据,没有调查,没有核实的前提下说出 “滴滴出行存在严重违法违规收集使用个人信息问题”。 请感受一下这简短有力的措辞,严重违法违规收集使用,恐怕今晚所有中国互联网公司听到这句话,晚 …

请声援一下李田田,别让沉默成为习惯!

李田田,一位来自湖南湘西永顺县的乡村女教师,曾任两个班的语文老师兼班主任,兼写学校通讯稿,负责走访、搜集地方扶贫材料等。 2019 年 10 月,她因《一群正被毁掉的乡村孩子》的文章,质疑自己任职的小学频繁迎检,耽误课程。很快,文章因反对当 …

戈培尔效应

公众号:过桥土豆 / guoqiaopotato CDT 编辑注:约瑟夫 · 戈培尔,纳粹德国时期的国民教育与宣传部部长,擅长演讲,被称为 “宣传的天才”。 戈培尔效应,是今天新学的一个传播学名词。 戈培尔,是二战时期的德国纳粹宣传部长约瑟 …