阿里云未及时上报漏洞被工信部处罚 被工信部通报重罚

这是工信部规定的，我们不知道阿里云是忽略了还是无视了。发现重大漏洞后，没有按照明确要求上报给上级部门，直接上报给国外开源组织基金会，就没有下文了。半个月后，行业组织公布了

这是工信部规定的，我们不知道阿里云是忽略了还是无视了。发现重大漏洞后，没有按照明确要求上报给上级部门，直接上报给国外开源组织基金会，就没有下文了。半个月后，行业组织公布了安全报告，我们权威部门了解到，漏洞危机下，全国裸奔2周。

最终，阿里云受到管理部门的严厉处罚，网络安全威胁信息共享平台合作单位被暂停6个月。

我今天就跟你说。这是怎么回事？本质是什么？对阿里云会有什么影响？

如果你从事网络安全相关的工作，你一定知道前段时间爆发的一个重大漏洞，Apache)Log4j2组件安全漏洞，因为它的应用范围太大，漏洞利用的后果也很严重。

但是，真正的问题是，这个漏洞是阿里云的一个安全工程师发现的。但阿里云直接向行业机构报告了漏洞。该不该举报？应该是

不过，先不说你没按程序上报。你就不能至少跟主管部门谈一谈吗？作为共享平台的合作方，也应该及时上报国家网络安全威胁与漏洞信息共享平台，更何况主管部门有明文规定，今年9月1日才开始实施的新政策。

不然我们国家为什么要建这个平台？阿里云作为合作单位，明明是先发现的，却没有说出来。这相当于给兄弟背刺，因为除了阿里云其他人都了解到了漏洞。也就是说，在bug修复之前，很可能被别人利用了，而且还是国外的组织。然后，作为共享平台合伙人的兄弟们已经裸奔两周了。请至少告诉我。

作为中国阿里云网络安全威胁信息共享平台的合作伙伴，这个平台是重量级的，也是国内领先的云公司，我觉得不可能说它不知道这个规定，而是直接无视了。

本质是什么？至少，阿里云员工疏忽了。说白了，公司不重视上级管理部门的规定，也是阿里云内部管理问题，不是技术问题。相反，技术团队能够首先发现严重的漏洞，恰恰证明了R&D能力的强大。

在上级管理部门的处罚内容中，直接向国外CVE举报Log4j2漏洞的安全专家被点名批评，而安全R&D人员却没有被点名批评，可见问题之大。

阿里云的漏洞管理流程和报告机制是有问题的，不知道其内部的具体规定。但是，阿里云这么大的企业，应该有相应的评价体系。或许被发现的漏洞，如果得到一些机构的确认，可以获得一些激励。

这叫什么？不注意，不认真对待。

对于阿里来说，这个处罚还是会有一定影响的。首先是客户或意向客户的流失。目前云市场的竞争已经非常激烈了。虽然阿里云遥遥领先，但华为云、腾讯云等其他云公司也在快速成长。而且目前正处于信息安全逐步加强的敏感时期，国有云逐步建立。

阿里云被上级公开处罚并通报批评。肯定会影响客户的购买决策。

但因为这个漏洞影响巨大，阿里云也被作为典型通报。新政策刚实施就撞上了枪口，正好整治了国内网络安全的相关意识和流程。