阿里雲迴應被工信部嚴懲
本文已影響1.86W人
本文已影響1.86W人
阿里雲迴應被工信部嚴懲,此次事件,從側面體現了計算機行業中普遍存在的意識疏漏。此次事件對行業的影響是正面的,這是一次警示、也是一次示範。阿里雲迴應被工信部嚴懲。
阿里雲迴應被工信部嚴懲1
12月23日晚間,阿里雲計算有限公司(以下簡稱“阿里雲”)對發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告的事件進行了迴應,阿里雲表示,阿里雲因在早期未意識到該漏洞的嚴重性,未及時共享漏洞信息。阿里雲將強化漏洞報告管理、提升合規意識,積極協同各方做好網絡安全風險防範工作。
阿里雲表示,近日,阿里雲一名研發工程師發現Log4j2組件的一個安全bug,遂按業界慣例以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。Apache開源社區確認這是一個安全漏洞,並向全球發佈修復補丁。隨後,該漏洞被外界證實爲一個全球性的重大漏洞。Log4j2 是開源社區阿帕奇(Apache)旗下的開源日誌組件,被全世界企業和組織廣泛應用於各種業務系統開發。
此前,阿里雲因此事被罰。12月22日,工信部網絡安全管理局通報稱,阿里雲是工信部網絡安全威脅信息共享平臺合作單位。近日,阿里雲公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究,現暫停阿里雲公司作爲上述合作單位6個月。暫停期滿後,根據阿里雲公司整改情況,研究恢復其上述合作單位。
12月9日,工信部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿里雲、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。爲降低網絡安全風險,提醒有關單位和公衆密切關注阿帕奇Log4j2組件漏洞補丁發佈,排查自有相關係統阿帕奇Log4j2組件使用情況,及時升級組件版本。
阿里雲在中國雲市場上佔據着重要地位,此前,Canalys發佈中國雲計算市場2021年第三季度報告。報告顯示,2021年第三季度中國雲計算市場整體同比增長43%,達到72億美元。阿里雲在2021年第三季度以38.3%的份額領先中國大陸市場,33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。
阿里雲迴應被工信部嚴懲2
近日,有媒體報道,阿里雲發現阿帕奇Log4j2組件有安全漏洞,但未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。因此,暫停阿里雲作爲上述合作單位 6 個月。
原本一個技術圈子的事情因此成爲社會熱議話題。一時間網友分化爲了兩個圈子——
非技術圈的人說:感覺阿里雲只報給阿帕奇這個技術社區,不上報組織,是沒把國家安全放心上。
技術圈層說:當然是誰寫的bug報給誰,阿帕奇的安全漏洞,報給阿帕奇是應該的,不能上綱上線。
23日晚間,阿里雲就log4j2漏洞發佈了說明,誠懇認錯,表示要強化漏洞報告管理、提升合規意識,積極協同各方共同做好網絡安全防範工作。
回顧這個非常技術的話題,有諸多事實需要釐清。
首先,阿帕奇開源社區是什麼?Log4j2組件是什麼?
阿帕奇是國際上比較有影響力的一個開源社區。官網上顯示,華爲、騰訊、阿里等中國公司是這個開源社區的主要貢獻者,另外也包括谷歌、微軟等美國企業。全球的軟件工程師,在這裏共建一些基礎的軟件部件,相互迭代、提高公共效率,是軟件產業的一個特有現象。
本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件,很多企業都會會用這個組件來開發自己的系統。在阿里雲的工程師發現這個組件有問題的時候,就郵件詢問了阿帕奇,請社區確認這是否是一個漏洞、評估影響範圍。
而後阿帕奇確認這是一個漏洞,並通知開發者們修補這個漏洞。於是,出現了天涯共此時,一起改漏洞的局面。
但阿里雲遺漏了不久前上線的一個官方上報平臺,僅僅按業界的慣例向以郵件方式向軟件開發方Apache開源社區報告這一問題請求幫助。
其次,工信部暫停阿里雲6個月合作單位資格,意味着什麼?
據工信微報——「12月9日,工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿里雲、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。」
媒體報道的暫停6個月合作單位資格,並未出現在公開渠道。據業內人士分析,這並不是一個嚴格意義上的“處罰”,否則不可能不公開通報。其次,網絡安全威脅和漏洞信息共享平臺是一個收集、通報網絡安全漏洞的平臺,暫停這個平臺的合作資質並不對業務造成影響。
工信部關於Log4j2漏洞的風險提示
但此次事件,從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中,大量從業人員、組織養成了與開源社區合作的工作習慣,但對更高層面的`安全意識、合規意識,在思想上、制度上都有所不足。阿里雲的漏報行爲,也是這一意識疏漏的一次具體體現。
整體而言,此次事件對行業的影響是正面的,這是一次警示、也是一次示範。阿里雲是行業領先的IT企業,這也是能夠率先發現全球重大安全漏洞的原因,而此次事件的發生,無疑將會增強計算機行業的安全合規意識,可以想見,無論是阿里雲、還是其他諸多科技企業,都將在企業和組織內部增強合規培訓和流程規範。
阿里雲迴應被工信部嚴懲3
近期,工信部網絡安全管理局通報稱,阿里雲計算有限公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。
通報指出,阿里雲是工信部網絡安全威脅信息共享平臺合作單位。經研究,工信部網絡安全管理局決定暫停阿里雲作爲上述合作單位6個月。暫停期滿後,根據阿里雲整改情況,研究恢復其上述合作單位。
觀察者網日前曾對該事件做過詳細報道,11月24日,阿里雲發現這個可能是“計算機歷史上最大的漏洞”後,率先向阿帕奇軟件基金會披露了這一漏洞,但並未及時向中國工信部通報相關信息。這一漏洞的存在,可以讓網絡攻擊者無需密碼就能訪問網絡服務器。
工信部通報阿帕奇Log4j2組件重大安全漏洞
阿帕奇(Apache)Log4j2組件是基於Java語言的開源日誌框架,被廣泛用於業務系統開發。近日,阿里雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,並將漏洞情況告知阿帕奇軟件基金會。
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。爲降低網絡安全風險,提醒有關單位和公衆密切關注阿帕奇Log4j2組件漏洞補丁發佈,排查自有相關係統阿帕奇Log4j2組件使用情況,及時升級組件版本。
工業和信息化部網絡安全管理局將持續組織開展漏洞處置工作,防範網絡產品安全漏洞風險,維護公共互聯網網絡安全。
阿嬌《靈珠》被質疑抄襲《犬夜叉》編劇迴應
林志玲被爆懷孕 哭臉迴應阿信神回遭虧
余文樂嬌妻婚後首迴應 王棠云爲什麼被叫月事妹
董璇迴應高雲翔遭霸凌是怎麼回事 董璇迴應高雲翔遭霸凌說了什麼
董璇迴應高雲翔遭霸凌是怎麼回事 董璇迴應高雲翔遭霸凌原因
阿嬌韓國男友被批難看 迴應:別人怎麼說不關心
嚴屹寬迴應華鼎獎是怎麼回事 嚴屹寬華鼎獎烏龍事件始末
兩員工上班時間秀恩愛被老闆這樣懲罰
阿里雲茶信陽毛尖
阿沁迴應飛兒樂隊重組是怎麼回事 阿沁迴應飛兒樂隊重組新主唱是誰
雲南白藥迴應配方怎麼回事 雲南白藥牙膏還能用嗎
阿里P8程序員是什麼級別 阿里P8程序員工資多少
五月天阿信的爸爸是黑社會老大嗎?阿信個人資料家庭背景
監管部門迴應萬豪西藏事件 若查實將按最嚴懲處
96款侵害用戶權益APP被工信部下架
這些星座女票的微信最好秒回不回後果嚴重
魏晨工作室迴應被抄襲 魏晨工作室爲什麼迴應說了什麼
鄧超工作室迴應是怎麼回事 鄧超怎麼摔傷的嚴重嗎
顫抖吧阿部2什麼時候播 顫抖吧阿部2在哪裏播
雲南白藥是什麼成分 雲南白藥迴應被指穿山甲入藥
谷阿莫被起訴是怎麼回事 谷阿莫被起訴的原因及個人資料介紹
獨孤天下阿史那雲歷史原型是誰 阿史那雲是誰演的
李晨工作室迴應天價面疑雲 曬菜單澄清謠言
馬雲一個月掙一二十個億很難受什麼梗 馬雲悔創阿里巴巴對錢沒有興趣段子
岳雲鵬迴應秒刪微博是怎麼回事 岳雲鵬迴應造謠秒刪微博內容是什麼
五月天阿信個人資料身家背景 阿信好聽的歌有哪些
岳雲鵬疑似攜辣妹酒店過夜是怎麼回事 岳雲鵬怎麼迴應出軌傳聞的
阿嬌被曝新戀情 迴應:男方只是乾哥哥
劉濤感人信被疑炒作 老公王珂犀利迴應
岳雲鵬迴應上春晚怎麼回事 岳雲鵬迴應上春晚說了什麼
應不應該讚美或是懲罰孩子
豆瓣等106個App被下架,工信部:違規需整改
張鈞甯迴應被岳雲鵬說不紅 一句話迴應高情商盡顯