阿里云知“漏”不报？_风闻

出品©一笔封禅

作者@何鲸洛

4月，因为垄断被罚182亿。

8月，因为高管猥亵员工被围光明顶。

9月，蚂蚁折戟之后花呗纳入征信成为“正规军”。

12月6日。

因为桃色事件被雪藏的前太子蒋凡“戴罪释放”，准备开拓海外市场。

本以为阿里的水逆之年到此为止。

不曾想。

12月22日。

阿里云发现严重漏洞未及时报告，阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。

①阿里云知“漏”不报？▽

事情经过如下。

11月24日。

阿里云在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

12月9日。

中国工信部收到有关网络安全专业机构报告，发现阿帕奇Log4j2组件存在严重安全漏洞，立即召集阿里云、网络安全企业、网络安全专业机构等开展研判，并向行业单位进行风险预警。

同一天。

阿帕奇官方发布紧急安全更新以修复远程代码执行漏洞，漏洞利用细节公开，但更新后的Apache Log4j 2.15.0-rc1版本被发现仍存在漏洞绕过。

12月10日。

中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞；阿帕奇官方再度发布log4j-2.15.0-rc2版本修复漏洞。

同一天。

阿里云在官网公告披露，安全团队发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月11日。

美联社报道，中国阿里云安全团队在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j内，发现一个漏洞Log4Shell。

12月14日。

中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

12月17日。

工信部发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》，其中提到，阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。

12月22日。

工信部通报，由于阿里云发现阿帕奇严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，决定暂停该公司作为工信部网络安全威胁信息共享平台合作单位6个月。

至于何时恢复和阿里云的合作？

工信部表示，在暂停期间结束后，会根据阿里云公司的整改情况，从而进一步研究恢复合作事项。

到现在还有人纠结：

阿里云发现了漏洞，应该先给通报给阿帕奇，还是工信部？

根据公开资料：

此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具，控制Java类系统日志信息生成、打印输出、格式配置等，大量的业务框架都使用了该组件，因此被广泛应用于各种应用程序和网络服务。

有专业人士表示：

这一漏洞可以让网络攻击者无需密码就能访问网络服务器。

美联社等外媒在获取消息后评论称：

这一漏洞可能是近年来发现的最严重的计算机漏洞。

由于该漏洞在全行业中乃至政府的云服务器和企业软件中“无处不在”，甚至犯罪分子、间谍乃至编程新手，都可以轻易使用这一漏洞进入内部网络，窃取信息、植入恶意软件和删除关键信息等。

如此大的漏洞。

甚至可以轻易威胁甚至破坏现在的网络生态？

工信部作为阿里云的合作单位。

此前甚至一无所知。

还是在半个月后才通过其它的网络安全机构知道这件事情。

可见此次问题：

并不是阿里云有没有更早通知工信部，应不应该通知工信部，工信部又能做些什么？

而是阿里云的“国家安全意识”欠缺。

7月12日。

工信部刊发了《网络产品安全漏洞管理规定》。

明令于9月1日起施行。

《网络产品安全漏洞管理规定》，国内安全研究人员发现漏洞之后报送CNVD即可，CNVD会发起向CVE报送流程，协调厂商和企业修复安全漏洞，不允许直接向国外漏洞平台提交。

这也就罢了。

其中：

第七条（二）规定，漏洞发现者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

第九条（一）规定，不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。

第九条（七）规定，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

阿里云遵守了哪一条？

②阿里云的“红与黑”？▽

2019年12月。

阿里云峰会广东期间，阿里巴巴副总裁、阿里云智能数字政府事业部总裁许诗军表示，目前阿里云已成为中国数字政府大数据整体市场第一，也是数字政府大数据基础平台软件市场第一。

据了解。

阿里合作了海关总署、国税总局、人社部等国家部委20多个，合作全国省市区30个，覆盖全国城市442个，包括服务内容1000+项，累计服务9亿人。

2020年。

疫情期间，全国28个省市与阿里云合作建设数字防疫系统，健康码在200多个城市上线，数字技术极大提升了防疫效率。在阿里云的支撑下，1.8亿学生在家上课、2亿上班族在家办公，保障了社会经济正常运转。

12月。

国际权威机构Gartner发布最新报告，全面评估全球顶级云厂商整体能力。

阿里云IaaS基础设施能力拿下全球第一，在计算、存储、网络、安全四项核心评比中均斩获最高分，这也是中国云首次超越亚马逊、微软、谷歌等国际厂商。

不可否认的是：

阿里云已经逐步潜入了我们生活的方方面面，国际战略也初有成效。

但与此同时。

2021年7月。

阿里云曾因2019年未经用户同意，擅自将用户留存的注册信息泄露给第三方合作公司，被浙江省通信管理局通报。

8月。

阿里云回应泄露用户注册信息：系一电销员工违反纪律，已处理。

更有意思的是：

阿里云之前通报漏洞还是以团队个人的身份。

这种感觉？

是不是熟悉的味道？

③阿里风波不断？▽

2020年3月。

针对美国打压华为，而不收拾腾讯、阿里？

金一南给出了答案：

因为腾讯和阿里是在美国搭建的基础架构之上的上层应用，只能在美国构建的这些底层架构中进行二次开发。

但华为是在搞基础架构，美国人不允许。

9月。

宗庆后曾当众质问马化腾，服务器在哪儿？

马化腾绕了半天。

说了个寂寞。

当此之际。

中美关系越来越敏感。

阿里云作为一家根植于中国本土的企业，还深度参与到了商业、基建和政府工作。

这都年底了。

居然玩了这么一手。

看来不只是企业文化，就连国家安全意识也出了问题。