本文转载自微信公众号《Java极客技术》,作者鸭血范唐。转载本文请联系Java极客技术公众号。相信大家最近都看到了两则新闻,一是Log4j2漏洞事件,二是阿里云被工信部停业六个月。这两起事件的关联是因为工信部发布通知称,阿里云在合作期间未及时将Log4j2漏洞告知合作伙伴,未有效支持工信部。进行网络安全威胁和漏洞管理的信息技术。原文如下:事件曝光后,也引起了对XX、XX的广泛讨论。主要有两个讨论点:1.发现漏洞的员工的绩效应该是3.75还是3.25?2.阿里云的做法有没有问题。在阿芬看来,这个问题本身应该是管理问题,而不是技术问题。发现该漏洞的人很可能是一线安全人员。发现漏洞后,按照行业惯例,通过邮件向软件开发商Apache开源社区报告该问题。求助,技术人员不能全面考虑影响范围,而且公司员工那么多,不是每个人都知道上报工信部的流程,所以这很可能是一个管理问题。这么看发现漏洞的安全人员,从技术角度打3.75也不过分,但还是要看leader是个什么样的人。毕竟影响不小。如果他们穿上小鞋子怎么办??另外,从漏洞报告到完整报告的爆发历时十多天。在这段时间里,其影响范围非常广泛。此时,阿里云并未引起重视,也未及时向工信部报告。真是有大问题。由于阿里云是工信部的合作伙伴,有责任和义务及时向工信部报告。同时,作为国内云计算大厂,阿里云作为国内龙头企业,不仅仅是一家公司,更是一家企业。更多的社会责任,将自身利益与国家利益结合起来。针对此事,有网友提到了以下几种情况,值得一试:如果发现漏洞,先向国内报告,再通知Apache,这才算是红了。如果先向Apache报告漏洞,然后马上告诉国内,这才算是技术天才,懂得大局。如果发现漏洞先上报给Apache,然后在规定的时间内通知国内,这也算是正常业务,无可厚非。说来有意思,如果发现漏洞,应该先报告给Apache,然后再忽略,只有Apache公布漏洞后,国家才会知道。本来12.10号漏洞刚刚在网上曝光的时候,很多人都在讨论这个漏洞是哪个公司哪个专家发现的。当时有消息称,阿里云最近发现并上报了,大家对此表示赞赏。别说阿里了,估计很多人都不知道这要上报给工信部。不过话说回来,工信部的通知还是很正确的。从大局来看,确实是阿里云做错了,缺乏主动上报的意识。说白了,如果这个级别的安全漏洞被黑客攻击或者其他分子利用,可能会造成难以估量的后果。中止合作六个月不轻不重,但对口碑还是有影响的。只能说后期要多注意工艺。不过也不用太担心。毕竟阿里云作为中国乃至全球顶级的云计算公司,每天可能会发现上百个漏洞。偶尔遇到这样的核弹级漏洞加上这样的管理失误应该不会多,相信后续的漏洞治理流程会越来越完善。
