阿里云未及時通報重大網(wǎng)絡(luò)安全漏洞，會帶來什么后果？

【文/觀察者網(wǎng) 呂棟】

創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價比濟(jì)寧網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式濟(jì)寧網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋濟(jì)寧地區(qū)。費用合理售后完善，十余年實體公司更值得信賴。

這事緣起于一個月前。當(dāng)時，阿里云團(tuán)隊的一名成員發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞后，隨即向位于美國的阿帕奇軟件基金會通報，但并沒有按照規(guī)定向中國工信部通報。事發(fā)半個月后，中國工信部收到網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)的報告，才發(fā)現(xiàn)阿帕奇組件存在嚴(yán)重安全漏洞。

阿帕奇組件存在的到底是什么漏洞？阿里云沒有及時通報會造成什么后果？國內(nèi)企業(yè)在發(fā)現(xiàn)安全漏洞后應(yīng)該走什么程序通報？觀察者網(wǎng)帶著這些問題采訪了一些業(yè)內(nèi)人士。

漏洞銀行聯(lián)合創(chuàng)始人、CTO張雪松向觀察者網(wǎng)指出，Log4j2組件應(yīng)用極其廣泛，漏洞危害可以迅速傳播到各個領(lǐng)域。由于阿里云未及時向中國主管部門報告相關(guān)漏洞，直接造成國內(nèi)相關(guān)機(jī)構(gòu)處于被動地位。

關(guān)于Log4j2組件在計算機(jī)網(wǎng)絡(luò)領(lǐng)域的關(guān)鍵作用，有國外網(wǎng)友用漫畫形式做了形象說明。按這個圖片解讀，如果沒有Log4j2組件的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都存在倒塌的危險。

國外社交媒體用戶以漫畫的形式，說明Log4j2的重要性

觀察者網(wǎng)梳理此次阿帕奇嚴(yán)重安全漏洞的時間線如下：

根據(jù)公開資料，此次被阿里云安全團(tuán)隊發(fā)現(xiàn)漏洞的Apache Log4j2是一款開源的Java日志記錄工具，控制Java類系統(tǒng)日志信息生成、打印輸出、格式配置等，大量的業(yè)務(wù)框架都使用了該組件，因此被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù)。

有資深業(yè)內(nèi)人士告訴觀察者網(wǎng)，Log4j2組件出現(xiàn)安全漏洞主要有兩方面影響：一是Log4j2本身在java類系統(tǒng)中應(yīng)用極其廣泛，全球Java框架幾乎都有使用。二是漏洞細(xì)節(jié)被公開，由于利用條件極低幾乎沒有技術(shù)門檻。因適用范圍廣和漏洞利用難度低，所以影響立即擴(kuò)散并迅速傳播到各個行業(yè)領(lǐng)域。

簡單來說，這一漏洞可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

這并非危言聳聽。美聯(lián)社等外媒在獲取消息后評論稱，這一漏洞可能是近年來發(fā)現(xiàn)的最嚴(yán)重的計算機(jī)漏洞。Log4j2在全行業(yè)和政府使用的云服務(wù)器和企業(yè)軟件中“無處不在”，甚至犯罪分子、間諜乃至編程新手，都可以輕易使用這一漏洞進(jìn)入內(nèi)部網(wǎng)絡(luò)，竊取信息、植入惡意軟件和刪除關(guān)鍵信息等。

阿里云官網(wǎng)截圖

然而，阿里云在發(fā)現(xiàn)這個“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”后，并沒有按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條要求，在2天內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送信息，而只是向阿帕奇軟件基金會通報了相關(guān)信息。

觀察者網(wǎng)查詢公開資料發(fā)現(xiàn)，阿帕奇軟件基金會（Apache）于1999年成立于美國，是專門為支持開源軟件項目而辦的一個非營利性組織。在它所支持的Apache項目與子項目中，所發(fā)行的軟件產(chǎn)品都遵循Apache許可證（Apache License）。

12月10日，在阿里云向阿帕奇軟件基金會通報漏洞過去半個多月后，中國國家信息安全漏洞共享平臺才獲得相關(guān)信息，并發(fā)布《關(guān)于Apache Log4j2存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告》，稱阿帕奇官方已發(fā)布補丁修復(fù)該漏洞，并建議受影響用戶立即更新至最新版本，同時采取防范性措施避免漏洞攻擊威脅。

中國國家信息安全漏洞共享平臺官網(wǎng)截圖

事實上，國內(nèi)網(wǎng)絡(luò)漏洞報送存在清晰流程。業(yè)內(nèi)人士向觀察者網(wǎng)介紹，業(yè)界通用的漏洞報送流程是，成員單位工業(yè)和信息化部網(wǎng)絡(luò)安全管理局 國家信息安全漏洞共享平臺（CNVD） CVE 中國信息安全測評中心 國家信息安全漏洞庫（CNNVD） 國際非盈利組織CVE；非成員單位或個人注冊提交CNVD或CNNVD。

根據(jù)公開資料，CVE（通用漏洞共享披露）是國際非盈利組織，全球通用漏洞共享披露協(xié)調(diào)企業(yè)修復(fù)解決安全問題，由于最早由美國發(fā)起該漏洞技術(shù)委員會，所以組織管理機(jī)構(gòu)主要在美國。而CNVD是中國的信息安全漏洞信息共享平臺，由國內(nèi)重要信息系統(tǒng)單位、基礎(chǔ)電信運營商、網(wǎng)絡(luò)安全廠商、軟件廠商和互聯(lián)網(wǎng)企業(yè)建立的信息安全漏洞信息共享知識庫。

上述業(yè)內(nèi)人士認(rèn)為，阿里這次因為漏洞影響較大，所以被當(dāng)做典型通報。在CNVD建立之前以及最近幾年，國內(nèi)安全人員對CVE的共識、認(rèn)可度和普及程度更高，發(fā)現(xiàn)漏洞安全研究人員慣性會提交CVE，雖然最近兩年國家建立了CNVD，但普及程度不夠，估計阿里安全研究員提交漏洞的時候，認(rèn)為是個人技術(shù)成果的事情，上報國際組織協(xié)調(diào)修復(fù)即可。

但根據(jù)最新發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，國內(nèi)安全研究人員發(fā)現(xiàn)漏洞之后報送CNVD即可，CNVD會發(fā)起向CVE報送流程，協(xié)調(diào)廠商和企業(yè)修復(fù)安全漏洞，不允許直接向國外漏洞平臺提交。

由于阿里云這次的行為未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理，根據(jù)工信部最新通報，工信部網(wǎng)絡(luò)安全管理局研究后，決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

業(yè)內(nèi)人士向觀察者網(wǎng)指出，工信部這次針對是阿里，其實也是向國內(nèi)網(wǎng)絡(luò)安全行業(yè)從業(yè)人員發(fā)出警示。從結(jié)果來看對阿里的處罰算輕的，一是沒有踢出成員單位，只是暫停6個月。二是工信部沒有對這次事件的安全研究人員進(jìn)行個人行政處罰或警告，只是對直接向國外CVE報送的Log4j漏洞的那個安全專家點名批評。

本文系觀察者網(wǎng)獨家稿件，未經(jīng)授權(quán)，不得轉(zhuǎn)載。

導(dǎo)致阿里云被暫停合作的漏洞 究竟是什么？

新京報貝殼 財經(jīng) 訊（記者 羅亦丹）因發(fā)現(xiàn)安全漏洞后的處理問題，近日阿里云引發(fā)了一波輿論。

據(jù)媒體報道，11月24日，阿里云安全團(tuán)隊向美國開源社區(qū)Apache（阿帕奇）報告了其所開發(fā)的組件存在安全漏洞。12月22日，因發(fā)現(xiàn)Apache Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，阿里云被暫停作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

12月23日，阿里云在官方微信公號表示，其一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助，“隨后，該漏洞被外界證實為一個全球性的重大漏洞。阿里云因在早期未意識到該漏洞的嚴(yán)重性，未及時共享漏洞信息。”

“之前發(fā)現(xiàn)這樣的漏洞都是直接通知軟件開發(fā)方，這確實屬于行業(yè)慣例，但是《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》出臺后，要求漏洞要同時通報給國家主管部門。由于上述法案頒布的時間不是很長，我覺得漏洞的發(fā)現(xiàn)者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴(yán)格來說，這個處理不算冤，但處罰其實也沒有那么嚴(yán)格，一不罰錢，二不影響做業(yè)務(wù)?！薄蹦嘲踩炯夹g(shù)總監(jiān)鄭陸（化名）告訴貝殼 財經(jīng) 記者。

漏洞影響有多大？

那么，如何理解Log4j2漏洞的嚴(yán)重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風(fēng)險等級定為“高危”，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日志信息的級別，能夠更加細(xì)致地控制日志生成過程，“Log4j2中存在JNDI注入漏洞，當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志記錄時，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。”

安域云防護(hù)的監(jiān)測數(shù)據(jù)顯示，截至12月10日中午12點，已發(fā)現(xiàn)近1萬次利用該漏洞的攻擊行為。據(jù)了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標(biāo)輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以遠(yuǎn)程控制受害者服務(wù)器，90%以上基于java開發(fā)的應(yīng)用平臺都會受到影響。

“Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關(guān)注，不僅在于其易于利用，更在于它巨大的潛在危害性。當(dāng)前幾乎所有的技術(shù)巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠(yuǎn)?！逼姘残虐踩珜＜覍ω悮?財經(jīng) 記者表示。

“這個漏洞嚴(yán)重性在于兩點，一是log4j作為java日志的基礎(chǔ)組件使用相當(dāng)廣泛，Apache和90%以上的java應(yīng)用受到影響。二是這個漏洞的利用入口非常多，幾乎達(dá)到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設(shè)備名稱等等，以及一些其他來源的被攻擊者污染的數(shù)據(jù)來源比如網(wǎng)上一些頁面等等?！睆氖露嗄曷┒赐诰虻陌踩袠I(yè)老兵，網(wǎng)友“yuange1975”在微博發(fā)文稱。

“簡而言之，該漏洞算是這幾年來最大的漏洞了?！编嶊懕硎?。

在“yuange1975”看來，該漏洞出來后，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子里發(fā)文章為了說明這個漏洞的嚴(yán)重性，又有點用了過高評價這個漏洞的詞語，“我不否認(rèn)這個漏洞很嚴(yán)重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網(wǎng)絡(luò)漏洞，就是說目前所有已經(jīng)發(fā)現(xiàn)公布的漏洞里排第一，這顯然有點夸大了?！?/p>

“l(fā)og4j漏洞發(fā)現(xiàn)者恐怕發(fā)現(xiàn)漏洞時對這個漏洞認(rèn)識不足，這個應(yīng)用的范圍以及漏洞觸發(fā)路徑，我相信一直到阿里云上報完漏洞，恐怕漏洞發(fā)現(xiàn)者都沒完全明白這個漏洞的真正嚴(yán)重性，有可能當(dāng)成了Apache下一個普通插件的一個漏洞。”yuange1975表示。

9月1日起施行新規(guī) 專家：對于維護(hù)國家網(wǎng)絡(luò)安全具有重大意義

據(jù)了解，業(yè)界的開源條例遵循的是《負(fù)責(zé)任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發(fā)現(xiàn)、通告、確認(rèn)、修復(fù)和發(fā)布。發(fā)現(xiàn)漏洞并上報給原廠商，是業(yè)內(nèi)常見的程序漏洞披露的做法。

貝殼 財經(jīng) 記者觀察到，白帽黑客建立漏洞發(fā)現(xiàn)與收集的平臺并告知企業(yè)的做法一度在圈內(nèi)流行。根據(jù)《 財經(jīng) 天下》的報道，把漏洞報給原廠商而不是平臺方，也會有潛在的好處。包括微軟、蘋果和谷歌在內(nèi)的廠商對報告漏洞的人往往會有獎勵，“最高的能給到十幾萬美元”。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。“對于安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日后，這一行業(yè)“常見程序”就要發(fā)生變化。

7月13日，工信部、國家網(wǎng)信辦、公安部印發(fā)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，要求任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺，應(yīng)當(dāng)在兩日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。該規(guī)定自2021年9月1日起施行。

值得注意的是，《規(guī)定》中也有漏洞發(fā)現(xiàn)者需要向產(chǎn)品相關(guān)提供者通報的條款。如《規(guī)定》第七條第一款顯示，發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后，應(yīng)當(dāng)立即采取措施并組織對安全漏洞進(jìn)行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產(chǎn)品或者組件存在的安全漏洞，應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。第七條第七款則表示，不得將未公開的網(wǎng)絡(luò)產(chǎn)品安全漏洞信息向網(wǎng)絡(luò)產(chǎn)品提供者之外的境外組織或者個人提供。

奇安信集團(tuán)副總裁、補天漏洞響應(yīng)平臺主任張卓在接受新京報貝殼 財經(jīng) 記者采訪時表示，《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》釋放了一個重要信號：我國將首次以產(chǎn)品視角來管理漏洞，通過對網(wǎng)絡(luò)產(chǎn)品漏洞的收集、研判、追蹤、溯源，立足于供應(yīng)鏈全鏈條，對網(wǎng)絡(luò)產(chǎn)品進(jìn)行全周期的漏洞風(fēng)險跟蹤，實現(xiàn)對我國各行各業(yè)網(wǎng)絡(luò)安全的有效防護(hù)。在供應(yīng)鏈安全威脅日益嚴(yán)重的全球形勢下，《規(guī)定》對于維護(hù)國家網(wǎng)絡(luò)安全，保護(hù)網(wǎng)絡(luò)產(chǎn)品和重要網(wǎng)絡(luò)系統(tǒng)的安全穩(wěn)定運行，具有重大意義。

張卓表示，《規(guī)定》第十條指出，任何組織或者個人設(shè)立的網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺，應(yīng)當(dāng)向工業(yè)和信息化部備案。同時在第六條中指出，鼓勵相關(guān)組織和個人向網(wǎng)絡(luò)產(chǎn)品提供者通報其產(chǎn)品存在的安全漏洞，還“鼓勵網(wǎng)絡(luò)產(chǎn)品提供者建立所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞獎勵機(jī)制，對發(fā)現(xiàn)并通報所提供網(wǎng)絡(luò)產(chǎn)品安全漏洞的組織或者個人給予獎勵?！边@兩條規(guī)定規(guī)范了漏洞收集平臺和白帽子的行為，有利于讓白帽子在合法合規(guī)的條件下發(fā)揮更大的 社會 價值。

什么卵嘛 阿里云 總是發(fā)郵件說 你服務(wù)器有高危漏洞 喊你買它的安全服務(wù) 有點坑...

漏洞的話其實有好多安全軟件有免費的修補功能的，例如360主機(jī)衛(wèi)士（zhuji.360. cn）它里面提供的網(wǎng)站程序補丁還算是比較及時的，當(dāng)然，肯定不如阿里云及時。

阿里云因未及時報告嚴(yán)重漏洞被處罰

阿里云因未及時報告嚴(yán)重漏洞被處罰

阿里云因未及時報告嚴(yán)重漏洞被處罰，阿里云在中國云市場上占據(jù)著重要地位，阿里云在2021年第三季度以38.3%的份額領(lǐng)先中國大陸市場，阿里云因未及時報告嚴(yán)重漏洞被處罰。

阿里云因未及時報告嚴(yán)重漏洞被處罰1

近期，工信部網(wǎng)絡(luò)安全管理局通報稱，阿里云計算有限公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

通報指出，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。經(jīng)研究，工信部網(wǎng)絡(luò)安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云整改情況，研究恢復(fù)其上述合作單位。

觀察者網(wǎng)日前曾對該事件做過詳細(xì)報道，11月24日，阿里云發(fā)現(xiàn)這個可能是“計算機(jī)歷史上最大的漏洞”后，率先向阿帕奇軟件基金會披露了這一漏洞，但并未及時向中國工信部通報相關(guān)信息。這一漏洞的存在，可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。

工信部通報阿帕奇Log4j2組件重大安全漏洞

阿帕奇（Apache）Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。近日，阿里云計算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時升級組件版本。

工業(yè)和信息化部網(wǎng)絡(luò)安全管理局將持續(xù)組織開展漏洞處置工作，防范網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險，維護(hù)公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全。

阿里云因未及時報告嚴(yán)重漏洞被處罰2

12月23日晚間，阿里云計算有限公司（以下簡稱“阿里云”）對發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告的事件進(jìn)行了回應(yīng)，阿里云表示，阿里云因在早期未意識到該漏洞的嚴(yán)重性，未及時共享漏洞信息。阿里云將強(qiáng)化漏洞報告管理、提升合規(guī)意識，積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險防范工作。

阿里云表示，近日，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2組件的一個安全bug，遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認(rèn)這是一個安全漏洞，并向全球發(fā)布修復(fù)補丁。隨后，該漏洞被外界證實為一個全球性的重大漏洞。Log4j2 是開源社區(qū)阿帕奇（Apache）旗下的開源日志組件，被全世界企業(yè)和組織廣泛應(yīng)用于各種業(yè)務(wù)系統(tǒng)開發(fā)。

此前，阿里云因此事被罰。12月22日，工信部網(wǎng)絡(luò)安全管理局通報稱，阿里云是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。近日，阿里云公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

12月9日，工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工信部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業(yè)單位進(jìn)行風(fēng)險預(yù)警。

該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。為降低網(wǎng)絡(luò)安全風(fēng)險，提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時升級組件版本。

阿里云在中國云市場上占據(jù)著重要地位，此前，Canalys發(fā)布中國云計算市場2021年第三季度報告。報告顯示，2021年第三季度中國云計算市場整體同比增長43%，達(dá)到72億美元。阿里云在2021年第三季度以38.3%的份額領(lǐng)先中國大陸市場，33.3%的年收入增長主要受互聯(lián)網(wǎng)、金融服務(wù)和零售行業(yè)的推動。

阿里云因未及時報告嚴(yán)重漏洞被處罰3

近日，有媒體報道，阿里云發(fā)現(xiàn)阿帕奇Log4j2組件有安全漏洞，但未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。因此，暫停阿里云作為上述合作單位 6 個月。

原本一個技術(shù)圈子的事情因此成為社會熱議話題。一時間網(wǎng)友分化為了兩個圈子——

非技術(shù)圈的人說：感覺阿里云只報給阿帕奇這個技術(shù)社區(qū)，不上報組織，是沒把國家安全放心上。

技術(shù)圈層說：當(dāng)然是誰寫的bug報給誰，阿帕奇的'安全漏洞，報給阿帕奇是應(yīng)該的，不能上綱上線。

23日晚間，阿里云就log4j2漏洞發(fā)布了說明，誠懇認(rèn)錯，表示要強(qiáng)化漏洞報告管理、提升合規(guī)意識，積極協(xié)同各方共同做好網(wǎng)絡(luò)安全防范工作。

回顧這個非常技術(shù)的話題，有諸多事實需要厘清。

首先，阿帕奇開源社區(qū)是什么？Log4j2組件是什么？

阿帕奇是國際上比較有影響力的一個開源社區(qū)。官網(wǎng)上顯示，華為、騰訊、阿里等中國公司是這個開源社區(qū)的主要貢獻(xiàn)者，另外也包括谷歌、微軟等美國企業(yè)。全球的軟件工程師，在這里共建一些基礎(chǔ)的軟件部件，相互迭代、提高公共效率，是軟件產(chǎn)業(yè)的一個特有現(xiàn)象。

本次發(fā)現(xiàn)漏洞的Log4j2 就是開源社區(qū)阿帕奇旗下的開源日志組件，很多企業(yè)都會會用這個組件來開發(fā)自己的系統(tǒng)。在阿里云的工程師發(fā)現(xiàn)這個組件有問題的時候，就郵件詢問了阿帕奇，請社區(qū)確認(rèn)這是否是一個漏洞、評估影響范圍。

而后阿帕奇確認(rèn)這是一個漏洞，并通知開發(fā)者們修補這個漏洞。于是，出現(xiàn)了天涯共此時，一起改漏洞的局面。

但阿里云遺漏了不久前上線的一個官方上報平臺，僅僅按業(yè)界的慣例向以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。

其次，工信部暫停阿里云6個月合作單位資格，意味著什么？

據(jù)工信微報——「12月9日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業(yè)單位進(jìn)行風(fēng)險預(yù)警?！?/p>

媒體報道的暫停6個月合作單位資格，并未出現(xiàn)在公開渠道。據(jù)業(yè)內(nèi)人士分析，這并不是一個嚴(yán)格意義上的“處罰”，否則不可能不公開通報。其次，網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺是一個收集、通報網(wǎng)絡(luò)安全漏洞的平臺，暫停這個平臺的合作資質(zhì)并不對業(yè)務(wù)造成影響。

工信部關(guān)于Log4j2漏洞的風(fēng)險提示

但此次事件，從側(cè)面體現(xiàn)了計算機(jī)行業(yè)中普遍存在的意識疏漏。在國內(nèi)計算機(jī)行業(yè)幾十年的發(fā)展過程中，大量從業(yè)人員、組織養(yǎng)成了與開源社區(qū)合作的工作習(xí)慣，但對更高層面的安全意識、合規(guī)意識，在思想上、制度上都有所不足。阿里云的漏報行為，也是這一意識疏漏的一次具體體現(xiàn)。

整體而言，此次事件對行業(yè)的影響是正面的，這是一次警示、也是一次示范。阿里云是行業(yè)領(lǐng)先的IT企業(yè)，這也是能夠率先發(fā)現(xiàn)全球重大安全漏洞的原因，而此次事件的發(fā)生，無疑將會增強(qiáng)計算機(jī)行業(yè)的安全合規(guī)意識，可以想見，無論是阿里云、還是其他諸多科技企業(yè)，都將在企業(yè)和組織內(nèi)部增強(qiáng)合規(guī)培訓(xùn)和流程規(guī)范。