阿里云团队唯一的错只是机械执行66号规定_风闻

阿里云团队因为一个阿帕奇漏洞搞的满城风雨，还被禁止了6个月合作关系。但是这个错误，我认为阿里云团队不是在于没有执行三部门关于印发网络产品安全漏洞管理规定的通知，而是机械的执行了这个规定。简单点说背了政策黑锅。

关于网络产品安全漏洞，在国务院部门文件工信部联网安〔2021〕66号《网络产品安全漏洞管理规定》中有这样的明确的表述。对于网络安全漏洞，责任主体分为网络产品提供者、网络运营者和网络产品安全漏洞收集平台三个主体。对于这三者的网络漏洞责任是要求不一样的。比如对于网络产品提供者就比较严格。66号规定 第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施。（第二款）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

那么阿里云团队在这个网络漏洞上报中应该承担什么责任呢？也很明确。就是​鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞，这个阿里云团队已经做了。但是还有一个“不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。”工信部对阿里云进行处罚，估计就是以这个依据的。

其实讲白了，这是一个法规安排上报程序错误。阿里云团队按照第一个要求对网络产品提供商阿帕奇开源基金会提供了漏洞。但是以为阿帕奇开源基金会会按照规定向工信部上报漏洞。事实是阿帕奇开源基金会估计认为这自家是开源程序，非商业运营提供产品商或者认为先把补丁搞定再公布，好像最后也是这么干的，所以就没有向工信部报。严格的说阿里云团队没有违反66号规定，因为66号规定对收集漏洞的阿里云团队没有严格意义上的上报要求，没有主体责任更没有上报期限。这是66号规定制定没有考虑到我国的阿里云团队或其他团队有能力发现别人未发现的零级漏洞。结果造成了这样的漏报问题，这是考虑不周，预计不到的意外情况。

归根结底，这是法律规定上预想不周造成的漏洞，阿里云团队我以为还是要鼓励为主，毕竟是我们发现了这个零级漏洞。当然这个规定漏洞还是要打补丁补上来。我们不要搞不教而诛，要对技术人员宽容一点。