阿里云被工信部暫停合作六個月，阿里到底該不該罰？

??

最近阿里云出了一樁大事：被暫停工信部網絡安全威脅信息共享平臺合作單位，引發業內外廣泛關注。

先來梳理一下這件事：

11月24日，阿里云發現Web服務器軟件阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后，向總部位于美國的阿帕奇軟件基金會報告，但沒有及時向工信部報告，導致自己被暫停合作6個月。

對阿里云這一事件，網友們眾說紛紜，態度不一。

有人把它上升到政治高度，認為阿里云發現這么大的漏洞不上報工信部，卻積極上報給美國，十幾天后國內才從國外獲知此消息。從某種意義上講，阿里這是叛國。

有人覺得阿里反饋給阿帕奇沒問題，正常流程就是出問題找開發者修復。開源軟件全世界上百萬的服務器都在用，在阿帕奇沒有發布補丁的情況下，跟第三方透露這個漏洞是非常不負責任的，即使這個第三方是工信部也不行。

如果上報給了工信部，就會極大損害阿里在開源社區和全世界的聲譽。如果不相信阿帕奇基金會，那就別用人家的軟件。

也有人說，別偷梁換柱，阿里的錯不在于第一時間上報給阿帕奇，而在于上報后兩日內沒有上報給工信部，國家今年出臺的《網絡產品安全漏洞管理規定》寫得清清楚楚。

有人說，第一上報順序優先是工信部，不管它能不能處理，這是工信部的地盤。人家美國企業就旗幟鮮明地先維護自己國家的利益。

有人說，從阿里云提交給阿帕奇，到阿帕奇修復，中間經過了17天，這17天里，阿里沒有報告工信部。阿帕奇雖然說是開源，但畢竟是國外的，誰知道這期間美國做了什么？有沒有通過這個漏洞竊取我國機密？這可是涉及到國家安全的大事。

而且不能確定阿帕奇就是中立的，它畢竟是國外的組織，如果它匯報給美國，美國再做點小動作……后果不堪設想。

所以，這不是開源問題，而是國家安全問題，如果早幾分鐘知道這個漏洞，國內公司就能早于國際上先啟動修復計劃。在國家安全、大是大非面前，談什么開源精神。

也有人說，這事側面說明阿里的技術很牛，首先發現了漏洞。但對行外人來說，卻留下了阿里云不安全的印象。

有人感嘆，以后誰還敢做技術？多做多錯，少做少錯，不做不錯，躺平才能贏。

有人說，對阿里云的處罰不是不報告工信部，而是不報給安全信息共享平臺，既然阿里加入這個平臺，就有上報的義務，不愿意上報就被開除。

雖然很多人說上報了也沒用，只有作者可以修復bug。但事實上，上報給平臺以后，可以預警其他部門，從而降低影響。

12月23日，阿里針對此事發表了說明，稱阿里云一名研發工程師發現安全bug后，按照業界慣例以郵件方式向軟件開發方阿帕奇開源社區確認這是一個安全漏洞，并向全球發布修復補丁。今后，阿里云將強化漏洞管理，提升合規意識。

對此許多人并不買賬，有人說這則聲明是揣著明白裝糊涂，偷換概念，bug和漏洞不一樣。

還有人說，這個聲明主要是撇清關系、肯定自我和避重就輕。

Apache Log4j2是阿帕奇軟件基金會旗下的一款日志記錄工具，被廣泛應用于業務系統開發。阿帕奇軟件基金會是專門為支持開源軟件項目而辦的一個非盈利性組織，其總部位于美國。

阿里云發現的這個漏洞是一個嚴重的安全漏洞，根據業內資深人士的說法，這個漏洞可以讓網絡攻擊者無需密碼就訪問網絡服務器，相當于把鑰匙交給對方，讓對方擁有了巨大的權力，其危險程度屬于“高危”。

那么阿里的做法究竟對不對？被處罰冤不冤？

其實這件事不像網友說得那么嚴重，許多人一看新聞就大罵阿里，發現漏洞不報告給國家，竟然先報告給美國！居心何在？簡直是賣國賊！

事實上，阿里對于該漏洞的上報流程是目前全球主流、公認的漏洞上報處理流程，已經運作了很多年。

發現漏洞后，應該立即通知相關產品的提供者。互聯網的內核精神是“開源共享”，只有在傳遞中知識才會得到增長。

但阿里該罰，畢竟它違反了國家針對網絡安全漏洞的相關管理規定。而且作為共享平臺的成員之一，發現漏洞不及時報告和分享，被處罰也不冤枉。國家安全無小事，維護國家安全是每個企業、每個人的義務。阿里作為國內著名的云服務商，它的合規意識和安全意識不該如此淡薄。

總之，這本來是一個單純的技術問題，卻因為涉及到中美關系而顯得非常敏感。雖然我們同意和維護互聯網的開源精神，但在保持職業素養的同時，也要有一定的政治素養，代碼雖然無國界，但程序員有國界，有心的錯誤決不能犯，無心的失誤也要避免。

版權申明：內容來源網絡，版權歸原創者所有。除非無法確認，都會標明作者及出處，如有侵權，煩請告知，我們會立即刪除并致歉!