相信大家最近都看到了两个新闻,一个是 Log4j2 的漏洞事件,一个是阿里云被工信部暂停合作六个月。这两个事件的关联是因为工信部发布通告说阿里云在合作期间未及时告知合作伙伴 Log4j2 的漏洞,没有有效支撑工信部开展网络安全威胁和漏洞管理。原文如下:
事情被曝光出来后,在某乎和某脉上面也引起了广泛的讨论,主要讨论的点有两个:1. 发现漏洞的员工绩效应该是 3.75 还是 3.25?2. 阿里云的做法是否有问题。
在阿粉看来,这个问题本身应该是管理问题并非技术问题,发现漏洞的人很有可能是一线安全员,发现了一个漏洞按照业界惯例以邮件方式向软件开发方 Apache 开源社区报告这一问题请求帮助,技术人员对影响的范围不能考虑的很全面,而且公司员工那么多,并不是每个人都清楚跟工信部报告的流程,所以这大概率是管理问题。
这么来看发现漏洞的安全人员,从技术的角度来看打个 3.75 是不过分的,不过还是要看领导是什么样的人呢,毕竟带来的影响也不小,万一被穿小鞋了呢?
另外在漏洞报告到全报爆发持续了十多天的时间,这一段时间其影响范围已经明显很广泛了,这个时候阿里云却没有引起重视,未及时上报工信部,着实是有很大的问题。既然阿里云跟工信部是合作伙伴的关系,有责任和义务及时上报工信部,同时阿里云作为国内主要的云计算厂商,阿里作为国内头部企业已经不单单是一家公司,一家企业了,要承担更多的社会责任,把自身的利益跟国家的利益绑定在一起。
针对这件事情有网友说到下面几种情况,很值得品一品:
- 如果说发现漏洞先报告国家,再通知 Apache,这算屁股红;
- 如果说发现漏洞先报告 Apache 再马上告诉国家,这算技术牛,懂大局。
- 如果说发现漏洞先报告 Apache 再规定时间内告诉国家,这算正常商业,无可厚非。
- 如果说发现漏洞先报告 Apache 然后就不管,等 Apache 公布漏洞后,国家才知道,这就有意思了。
原本在 12.10 号漏洞刚刚在网上暴露的时候,很多人都在讨论,是哪家公司,哪个大牛发现了这个漏洞,当时有消息说是阿里云最新发现并上报的,大家都还很赞赏,别说是阿里,当时估计很多人都不知道这个要上报工信部。
不过话说回来,工信部的通报还是很对的,这件事情从大局的角度来看,确实是阿里云做的不对,缺乏主动报备意识,说白了这种级别的安全漏洞如果被黑客或者其他不法分子加以利用的话,说不定会造成无法估计的后果。暂停六个月的合作惩罚不算轻也不算重,但是对名誉还是有所影响的,只能说后期在流程这块要更加注重。
不过也不用过于担心,毕竟阿里云作为国内以及国际上顶尖的云计算公司,每天发现的漏洞可能成千上百,偶尔遇到这样一次核弹级的漏洞再加上这样的管理失误也不会很多,相信后面漏洞管理流程会越来越完善。