今天一早,被大家热评“阿里云被暂停网络安全威胁信息共享平台合作单位6个月”的新闻炸屏了,我个人感觉大家的理解与事实有点偏差。
工信部对阿里云的处罚原因不是发现漏洞不及时报告工信部,而是没有及时上报给安全信息共享平台。
注意这不是一个行政处罚,而是暂停了阿里云共享安全信息平台信息。
这非常容易理解,你既然加入了共享平台,你在享受共享平台的信息权力的同时,你没有尽到把你自己的信息让大家共享的义务。
说白了就是白票嘛,你认为这合理吗?
正因为代码漏洞多如牛毛,为了安全,才有了“网络安全威胁信息共享平台”,这个平台的目的就是预警其他部门。
码农应该知道,有漏洞降低危害并不只有修复Bug这一种方法啊,也可以通过防火墙或下线服务等手段来降低危害,前提是相关的部门能在共享平台上共享到这个漏洞信息。
所以,阿里云及时上报漏洞给共享平台,这和开源精神有什么关系?
所以,在这个问题上阿里云的确是有问题的,洗不白的。
拓展资料:
阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件存在严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。工信部网络安全管理局决定暂停阿里云作为网络安全威胁信息共享平台单位6个月。
根据《网络产品安全漏洞管理规定》鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。并且还规定应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。阿里云并没有在2日之内上报给中国工信部,而Apache过了17天才对外公布该漏洞信息,并且是工信部看到新西兰国家的通知才知道有这个漏洞的。
往小了说阿里云这次事件是公司内部员工对国家相关文件学习不到位,粗心大意造成的。但也从侧面说明阿里云公司管理存在重大管理漏洞,这也是国家为啥要暂停阿里云6个月来让阿里云整改完善的原因,第一:这是国家的善意,愿意相信是阿里云管理失误造成的。第二,给阿里云敲响警钟,希望阿里云能严加教育! 往大了说就比较严重了,要是阿里云公司知道并了解规定,但就是不向国家通报,对国家规定阳奉阴违,或者一心向外,被外国资本所渗透,或被一些黄皮白骨的汉奸祸害,企图给国家造成严重损失,这性质就太严重了!这也是国家所不愿相信的。 经过这次事件,相信阿里云会知道怎么做,不然下次就不是暂停几个月这么简单了!
该文章投稿作者:满路 香,如若转载,请注明来自鱼鳞桐程网:https://www.yulintongcheng.com/15109.html
