关于阿里log4j2漏洞上报问题,给阿里说句公道话

雀巢爱好者 发布于 2021/12/24 16:32
阅读 7K+
收藏 0

工信部对阿里的处罚是非常公正合理的。而看到网上很多人却对此上纲上线,无限拔高,动不动就往卖国上扯,实在是不吐不快,因为这样下去,中国迟早人人都能被它们打成卖国分子。正是应该团结一切可以团结的力量的时候,却有人在拼命煽动搞内斗,还将人往死里斗,他自以为是在爱国,但干的事却是敌对势力努力想做成的事。

阿里对于这个漏洞的上报流程,是目前全球主流的,公认的漏洞上报处理流程。事实上过去20年,全世界的软件漏洞都是这么处理的。这套流程已经运作了很多年了。

我们国家是直到今年的7月12日才出了一个新的规定《网络产品安全漏洞管理规定》,9月1日开始施行,请大家自己上网查看全文。而且我大胆猜测,中国99%的开发人员在这个事情出来前,压根不知道有这么个文件。起码我在这事出来前既不知道这个文件,也不知道这个平台。

其中第七条规定:网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施。应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

很多人说的这个2日内,实际是出自这一条。但问题是在log4j2这个事情里,阿里并不是该网络产品的提供者,这个产品提供者是apache组织,阿里只能算作网络运营者。所以这一条从字面上来说并不适用阿里。

阿里适用的是第10条:

鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

这里只有鼓励而已。

所以根据这个规定,其实并不能对阿里进行处罚。对阿里进行处罚实际是因为它同时是工信部网络安全威胁信息共享平台合作单位。而它作为合作单位,却没有及时上报,所以才需要进行处罚。至于这个合作单位到底是什么性质,其中有什么义务和权利,有什么奖惩措施,我不知道,我相信绝大部分喊打喊杀的网友更加不知道。而工信部知道,所以工信部根据工信部网络安全威胁信息共享平台合作单位的条例进行这么一个处罚是非常公正合理的。

我不知道阿里公司到底为什么会犯这种错,我个人的猜测是,阿里由于部门之间的沟通问题,导致阿里这个员工可能压根不知道中国新出了这么个规定和平台,和中国99%的开发人员一样。阿里公司是什么情况我不知道,但我以前做软件开发管理时,确实也从未关注过工信部是不是出什么新规定了,都忙着开发呢。最关注这种动态的公司,往往是那种喜欢去骗政府补贴的公司。

如果这样就是卖国,那我大胆猜测,中国99%的开发人员都符合你们所定义的卖国条件,唯一不同点在于,这些人没能力发现这个漏洞罢了。这样的话,那还真不如不发现,更别提公开漏洞,自己拿着漏洞赚钱不香吗?这样,不是鼓励劣币驱良币吗?

大家就事论事,不要动不动上纲上线,无限拔高。这样中国没人是安全的,谁都可能被人轻易地打成卖国分子。

转载自https://www.toutiao.com/i7044918593619771917/

加载中
11
ljxun
ljxun

上报漏洞通常一封电邮而已,如果说没空啥的那就是瞎说,这其实就是工作失误。合作是有合同和条款的,所以工信部暂停阿里的合作也没问题。至于上升到爱国卖国这种高度也是一帮人不嫌事大。

治治熊虚伪
回复 @Gfast开源-qixun : 毕竟这个名字也是袁次郎创造的。现在都是扣帽子年代
Gfast开源-qixun
Gfast开源-qixun
任何事情都有两面性,人也是一样。上升到爱国卖国也大都是键盘侠!
7
莫言无语
莫言无语

树倒猢狲散,墙倒众人推。

6
快乐齐天2020

说到底这是个下意识的操作,也暴露了企业内部没有对员工适当的培训,已经加入了平台,肯定会有相关的渠道

4
S
SHA-256
很中肯了,数万人的公司,一个技术漏洞,不通知法务和行政也正常,上报漏洞的人怎么会能想到技术漏洞会和行政有关系呢
2
x
xsource

以阿里公司的体量和江湖地位,法务、合规会不知道这些规定?技术不懂得这个漏洞的严重性?管理层不清楚一家中国企业的社会责任意识?就算它不是“网络产品提供者”,作为文中所说“可以团结的力量”,长达十几天硬是没说,这到底是谁没把谁当自己人呢?

Aaron_Ma
Aaron_Ma
回复 @没有梦想的_咸鱼 : 没进过BAT这种级别的公司就别用你那小公司思维质疑这些问题,估计你连开源协议之间的区别都搞不清楚
incess
incess
回复 @没有梦想的_咸鱼 : 你这纯属就是没在稍微上档次的公司工作过,但凡在有完善法务和人力资源管理制度的公司,在这种类型的岗位,不给你法务和法律条款培训?我这每个季度都给上课,和你说清楚 干了哪些事需要判几年,哪些事没做好判几年,哪条法律法规 文件规定,都给你整得明明白白的,别跟我说阿里云内部不培训,我不信
没有梦想的_咸鱼
没有梦想的_咸鱼
搞技术的会关心这些东西?
2
C
CheckMe

所以处罚也不重,还想怎么样?

2
魔力猫
魔力猫

公知洗地水军。

2
尐帥鱼
尐帥鱼

发文章只有和大众想法相反就一定有流量,为什么我做不到这一点呢?

1
古叶斋
古叶斋

阿里不是故意的,就是忘了

1
ice1938
ice1938

看热闹的随便说,大厂的拿着高薪干些不是专业的事也没什么不要紧的。作为程序员的都先说下,你们公司或者你知不知道工信部的什么调调框框规定就完了。

OSCHINA
登录后可查看更多优质内容
返回顶部
顶部