阿里云被工信部暂停合作六个月，阿里到底该不该罚？

‍‍

最近阿里云出了一桩大事：被暂停工信部网络安全威胁信息共享平台合作单位，引发业内外广泛关注。

先来梳理一下这件事：

11月24日，阿里云发现Web服务器软件阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后，向总部位于美国的阿帕奇软件基金会报告，但没有及时向工信部报告，导致自己被暂停合作6个月。

对阿里云这一事件，网友们众说纷纭，态度不一。

有人把它上升到政治高度，认为阿里云发现这么大的漏洞不上报工信部，却积极上报给美国，十几天后国内才从国外获知此消息。从某种意义上讲，阿里这是叛国。

有人觉得阿里反馈给阿帕奇没问题，正常流程就是出问题找开发者修复。开源软件全世界上百万的服务器都在用，在阿帕奇没有发布补丁的情况下，跟第三方透露这个漏洞是非常不负责任的，即使这个第三方是工信部也不行。

如果上报给了工信部，就会极大损害阿里在开源社区和全世界的声誉。如果不相信阿帕奇基金会，那就别用人家的软件。

也有人说，别偷梁换柱，阿里的错不在于第一时间上报给阿帕奇，而在于上报后两日内没有上报给工信部，国家今年出台的《网络产品安全漏洞管理规定》写得清清楚楚。

有人说，第一上报顺序优先是工信部，不管它能不能处理，这是工信部的地盘。人家美国企业就旗帜鲜明地先维护自己国家的利益。

有人说，从阿里云提交给阿帕奇，到阿帕奇修复，中间经过了17天，这17天里，阿里没有报告工信部。阿帕奇虽然说是开源，但毕竟是国外的，谁知道这期间美国做了什么？有没有通过这个漏洞窃取我国机密？这可是涉及到国家安全的大事。

而且不能确定阿帕奇就是中立的，它毕竟是国外的组织，如果它汇报给美国，美国再做点小动作……后果不堪设想。

所以，这不是开源问题，而是国家安全问题，如果早几分钟知道这个漏洞，国内公司就能早于国际上先启动修复计划。在国家安全、大是大非面前，谈什么开源精神。

也有人说，这事侧面说明阿里的技术很牛，首先发现了漏洞。但对行外人来说，却留下了阿里云不安全的印象。

有人感叹，以后谁还敢做技术？多做多错，少做少错，不做不错，躺平才能赢。

有人说，对阿里云的处罚不是不报告工信部，而是不报给安全信息共享平台，既然阿里加入这个平台，就有上报的义务，不愿意上报就被开除。

虽然很多人说上报了也没用，只有作者可以修复bug。但事实上，上报给平台以后，可以预警其他部门，从而降低影响。

12月23日，阿里针对此事发表了说明，称阿里云一名研发工程师发现安全bug后，按照业界惯例以邮件方式向软件开发方阿帕奇开源社区确认这是一个安全漏洞，并向全球发布修复补丁。今后，阿里云将强化漏洞管理，提升合规意识。

对此许多人并不买账，有人说这则声明是揣着明白装糊涂，偷换概念，bug和漏洞不一样。

还有人说，这个声明主要是撇清关系、肯定自我和避重就轻。

Apache Log4j2是阿帕奇软件基金会旗下的一款日志记录工具，被广泛应用于业务系统开发。阿帕奇软件基金会是专门为支持开源软件项目而办的一个非盈利性组织，其总部位于美国。

阿里云发现的这个漏洞是一个严重的安全漏洞，根据业内资深人士的说法，这个漏洞可以让网络攻击者无需密码就访问网络服务器，相当于把钥匙交给对方，让对方拥有了巨大的权力，其危险程度属于“高危”。

那么阿里的做法究竟对不对？被处罚冤不冤？

其实这件事不像网友说得那么严重，许多人一看新闻就大骂阿里，发现漏洞不报告给国家，竟然先报告给美国！居心何在？简直是卖国贼！

事实上，阿里对于该漏洞的上报流程是目前全球主流、公认的漏洞上报处理流程，已经运作了很多年。

发现漏洞后，应该立即通知相关产品的提供者。互联网的内核精神是“开源共享”，只有在传递中知识才会得到增长。

但阿里该罚，毕竟它违反了国家针对网络安全漏洞的相关管理规定。而且作为共享平台的成员之一，发现漏洞不及时报告和分享，被处罚也不冤枉。国家安全无小事，维护国家安全是每个企业、每个人的义务。阿里作为国内著名的云服务商，它的合规意识和安全意识不该如此淡薄。

总之，这本来是一个单纯的技术问题，却因为涉及到中美关系而显得非常敏感。虽然我们同意和维护互联网的开源精神，但在保持职业素养的同时，也要有一定的政治素养，代码虽然无国界，但程序员有国界，有心的错误决不能犯，无心的失误也要避免。

版权申明：内容来源网络，版权归原创者所有。除非无法确认，都会标明作者及出处，如有侵权，烦请告知，我们会立即删除并致歉!