依据66号规定为阿里云辩护_风闻

本吞食者知道，写下这个题目，踩赞比至少10:1。但是，为了一个法治社会，本吞食者要顶着装甲盔为阿里云辩护。辩护的依据就是66号规定本身。这个规定网上很容易找到，就不全文引用了。辩护如下。

假设你是阿里云的法务。现在工程师报告发现了阿帕奇组织的漏洞。本着有法必依的原则，你和工程师一起逐条对照66号规定，看看自己该干啥。

第一条，立法原则，跳过。

第二条，谁该遵守，阿里云当然要遵守，跳过。

第三条，主管单位与责任，跟阿里云无关，跳过。

第四条，阿里云都没干，跳过。

第五条，阿里云都干了，跳过。

然后是真正相关的第六、第七条。

=============================================================

第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：

　　（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

　　（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

　　（三）应当及时组织对网络产品安全漏洞进行修补，对于需要产品用户（含下游厂商）采取软件、固件升级等措施的，应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户，并提供必要的技术支持。

　　工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

　　鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制，对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。第六条，鼓励，没说境内外有差别。好，我们阿里云向阿帕奇组织通报漏洞是受鼓励的，那就通报罗。没说通报之后要干啥。第七条，本条的“网络产品提供者”显然和第六条的“网络产品提供者”是同一的，都是阿帕奇组织。那们阿里云更是要通报了，把责任甩出去嘛。而且后面第九条还列了一堆“不得”。于是阿里云通报给阿帕奇组织，然后啥也不用干了。=============================================================争议就发生在这里。踩阿里一方的，坚持认为第七条的“网络产品提供者”和第六条的“网络产品提供者”不同一。阿里云在第六条里当了“相关组织”之后，必须在第七条里再当“网络产品提供者”，有责任上报。本吞食者认为，上述观点有三个理由不成立。第一，从汉语逻辑和语法看，六、七两条的“网络产品提供者”就是同一的。第二，第七条默认了“网络产品提供者”具有技术能力评估、验证，知道漏洞的“产品名称、型号、版本以及漏洞的技术特点、危害和影响范围”，这表明“网络产品提供者”就是指该漏洞产品的提供者，而不是其他产品的提供者，所以阿里云不是“网络产品提供者”。第三，假设一种情况，阿帕奇组织在接到阿里云通报后卡着48小时向共享平台报送了相关漏洞信息，那阿里云还有没有责任？要说裸奔，那这48小时国内网络也是在裸奔啊。所以，真正的问题是66号规定。它没有区分国内外，导致bug。它根本就没有规定阿里云有义务在向阿帕奇组织通报之后的2日内向共享平台报送相关漏洞信息，而将这一义务属于阿帕奇组织。至于说阿帕奇组织不履行义务，不是阿里云的问题。退一步说，就算你不同意本吞食者的观点，非要认为六、七两条的“网络产品提供者”不同一，那也是66号规定导致了歧义。写一个法规文件写出歧义来，那工信部还不该骂吗？本吞食者之所以吃饱了撑的要给阿里云辩护，是希望建立一个法治社会。而法治社会在“有法可依，有法必依，执法必严，违法必究”之前，还应当首先保证这个法是正确的，合乎逻辑的，无歧义的，即对立法者有技术上的要求。现在工信部搞了个有歧义、有bug的规定出来，阿里云照着规定跑出bug了，工信部就处罚阿里云，然后大家还骂阿里云不爱国不讲政治，这不是跟法治背道而驰么。