文中摘自微信公众平台「Java极克技术性」,创作者鸭血粉丝Tang。转截文中请联络Java极克技术性微信公众号。
坚信各位近期都看到了2个新闻报道,一个是 Log4j2 的漏洞事情,一个是阿里云被工信部中止协作六个月。这两个事情的关系是由于工信部公布通知说阿里云在协作期内未立即告之合作方 Log4j2 的漏洞,沒有合理支撑点工信部进行网络信息安全危害和漏洞管理方法。全文如下所示:
事儿被曝出出后,在某乎和某脉上边也引发了普遍的探讨,关键探讨的点有两个:1. 发现漏洞的员工绩效应该是 3.75 或是 3.25?2. 阿里云的作法是不是有什么问题。
在阿粉来看,这个问题自身应该是管理方法问题并不是技术性问题,发现漏洞的人极有可能是一线专职安全员,发现了一个漏洞依照业内国际惯例以电子邮件形式向开发软件方 Apache 开源项目报告这一问题要求协助,专业技术人员对危害的范畴不可以考虑到的很全方位,并且企业员工那么多,并非所有人都清晰跟工信部报告的步骤,因此这大概率是管理方法问题。
那么看来发现漏洞的安全防护工作人员,从技术应用的方面看来打个 3.75 是但是分的,不过或是需看领导干部是什么样的人呢,终究产生的危害也很大,万一被打小报告了呢?
此外在漏洞报告到全报暴发不断了十多天的時间,这一段时间其危害范畴早已显著很普遍了,这个时候阿里云却沒有引起重视,未立即汇报工信部,确实是有较大的问题。即然阿里云跟工信部是合作方的关联,有责任和义务立即汇报工信部,与此同时阿里云做为中国关键的云计算技术生产商,阿里巴巴做为中国头部企业早已不单单是一家企业,一家公司了,要担负大量的企业社会责任,把自己的权益跟国家的利益捆绑在一起。
对于这件事有网民说到下边几个状况,很非常值得品一品:
- 假如说发现漏洞先报告国家,再通告 Apache,这算臀部红。
- 假如说发现漏洞先报告 Apache 再立刻告知国家,这算技术性牛,懂大局意识。
- 假如说发现漏洞先报告 Apache 再要求时间段内告知国家,这算一切正常商业服务,无可非议。
- 假如说发现漏洞先报告 Apache 随后就无论,等 Apache 发布漏洞后,国家才知道,这就有趣了。
本来在 12.10 号漏洞刚在网络上泄露的情况下,很多人都会探讨,是哪一家企业,哪个大神发现了这一漏洞,那时候有信息说成阿里云全新发现并汇报的,大家都还很称赞,不要说是阿里巴巴,那时候可能很多人都不知这一要汇报工信部。
但是总的来说,工信部的通告或是很对的,这件事从大局意识的方面看来,的确是阿里云做的不对,欠缺积极上报观念,简言之这类档次的安全性漏洞假如被网络黑客或是别的犯罪分子进行充分利用得话,或许会导致没法预估的不良影响。中止六个月的协作处罚算不上轻也不算重,可是对声誉或是有一定的危害的,只有说中后期在步骤这方面要更加重视。
但是也无需过度担忧,终究阿里云做为中国及其国际性上顶级的云计算公司,每日发现的漏洞很有可能成百上千,有时候碰到那样一次核弹头级的漏洞再添加那样的监管过失也不会许多,坚信后边漏洞流程管理会更加健全。