这就是为什么要向国家报告程序漏洞的原因_风闻

【本文由“苟非吾之所得”推荐，来自《阿里云：早期未意识到Apache log4j2漏洞的严重性，将提升合规意识》评论区，标题为苟非吾之所得添加】

• 天使笑容
• 观网读者不要这么极端吧？国内合规也有一个过程，企业疏忽情有可原。国内环境应该宽松，而不是动辄得咎，这样危害很大。

今年9月1日，为落实《网络产品安全漏洞管理规定》有关要求，工信部网络安全管理局组织建设的工信部网络安全威胁和漏洞信息共享平台正式上线运行。

而这个《网络产品安全漏洞管理规定》第七条明确指出，各企业发现安全漏洞后，应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

阿里云的问题是把这个武器提交给了阿帕奇（Apache）基金会，却没有向工信部提交，这不仅仅是个政治错误，关键是违法了。

工信部生气那是肯定的了，而且是暴跳如雷那一种。啥叫信息共享平台啊？就是大家都把漏洞提交到这里，做到群防群治，维护了自己利益，也维护行业利益，更维护国家利益。

现在倒好，阿里云享受着别人提交过来的漏洞，自己发现了却闷不做声，偷偷提交给了美国的阿帕奇基金会。

网络安全，有时候比的就是速度。安全信息的传递，应该是分秒必争的。晚一秒，国内的重要服务器说不定就会被攻陷。

工信部12月9日通过公开渠道了解了这一漏洞之后，全国的程序员正准备欢度周末，结果都被喊来彻夜加班打补丁，问题是我们比美国晚了整整15天。

15天的时间，美国情报部门不知道在我们国内重要的服务器上逛多少圈了，拷贝了多少信息，安装了多少非法程序。