阿裏雲回應被工信部嚴懲
阿裏雲回應被工信部嚴懲,此次事件,從側面體現了計算機行業中普遍存在的意識疏漏。此次事件對行業的影響是正面的,這是壹次警示、也是壹次示範。阿裏雲回應被工信部嚴懲。
阿裏雲回應被工信部嚴懲112月23日晚間,阿裏雲計算有限公司(以下簡稱“阿裏雲”)對發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告的事件進行了回應,阿裏雲表示,阿裏雲因在早期未意識到該漏洞的嚴重性,未及時***享漏洞信息。阿裏雲將強化漏洞報告管理、提升合規意識,積極協同各方做好網絡安全風險防範工作。
阿裏雲表示,近日,阿裏雲壹名研發工程師發現Log4j2組件的壹個安全bug,遂按業界慣例以郵件方式向軟件開發方Apache開源社區報告這壹問題請求幫助。Apache開源社區確認這是壹個安全漏洞,並向全球發布修復補丁。隨後,該漏洞被外界證實為壹個全球性的重大漏洞。Log4j2 是開源社區阿帕奇(Apache)旗下的開源日誌組件,被全世界企業和組織廣泛應用於各種業務系統開發。
此前,阿裏雲因此事被罰。12月22日,工信部網絡安全管理局通報稱,阿裏雲是工信部網絡安全威脅信息***享平臺合作單位。近日,阿裏雲公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究,現暫停阿裏雲公司作為上述合作單位6個月。暫停期滿後,根據阿裏雲公司整改情況,研究恢復其上述合作單位。
12月9日,工信部網絡安全威脅和漏洞信息***享平臺收到有關網絡安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿裏雲、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。為降低網絡安全風險,提醒有關單位和公眾密切關註阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本。
阿裏雲在中國雲市場上占據著重要地位,此前,Canalys發布中國雲計算市場2021年第三季度報告。報告顯示,2021年第三季度中國雲計算市場整體同比增長43%,達到72億美元。阿裏雲在2021年第三季度以38.3%的份額領先中國大陸市場,33.3%的年收入增長主要受互聯網、金融服務和零售行業的推動。
阿裏雲回應被工信部嚴懲2近日,有媒體報道,阿裏雲發現阿帕奇Log4j2組件有安全漏洞,但未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。因此,暫停阿裏雲作為上述合作單位 6 個月。
原本壹個技術圈子的事情因此成為社會熱議話題。壹時間網友分化為了兩個圈子——
非技術圈的人說:感覺阿裏雲只報給阿帕奇這個技術社區,不上報組織,是沒把國家安全放心上。
技術圈層說:當然是誰寫的bug報給誰,阿帕奇的安全漏洞,報給阿帕奇是應該的,不能上綱上線。
23日晚間,阿裏雲就log4j2漏洞發布了說明,誠懇認錯,表示要強化漏洞報告管理、提升合規意識,積極協同各方***同做好網絡安全防範工作。
回顧這個非常技術的話題,有諸多事實需要厘清。
首先,阿帕奇開源社區是什麽?Log4j2組件是什麽?
阿帕奇是國際上比較有影響力的壹個開源社區。官網上顯示,華為、騰訊、阿裏等中國公司是這個開源社區的主要貢獻者,另外也包括谷歌、微軟等美國企業。全球的軟件工程師,在這裏***建壹些基礎的軟件部件,相互叠代、提高公***效率,是軟件產業的壹個特有現象。
本次發現漏洞的Log4j2 就是開源社區阿帕奇旗下的開源日誌組件,很多企業都會會用這個組件來開發自己的系統。在阿裏雲的工程師發現這個組件有問題的時候,就郵件詢問了阿帕奇,請社區確認這是否是壹個漏洞、評估影響範圍。
而後阿帕奇確認這是壹個漏洞,並通知開發者們修補這個漏洞。於是,出現了天涯***此時,壹起改漏洞的局面。
但阿裏雲遺漏了不久前上線的壹個官方上報平臺,僅僅按業界的慣例向以郵件方式向軟件開發方Apache開源社區報告這壹問題請求幫助。
其次,工信部暫停阿裏雲6個月合作單位資格,意味著什麽?
據工信微報——「12月9日,工業和信息化部網絡安全威脅和漏洞信息***享平臺收到有關網絡安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿裏雲、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。」
媒體報道的暫停6個月合作單位資格,並未出現在公開渠道。據業內人士分析,這並不是壹個嚴格意義上的“處罰”,否則不可能不公開通報。其次,網絡安全威脅和漏洞信息***享平臺是壹個收集、通報網絡安全漏洞的平臺,暫停這個平臺的合作資質並不對業務造成影響。
工信部關於Log4j2漏洞的風險提示
但此次事件,從側面體現了計算機行業中普遍存在的意識疏漏。在國內計算機行業幾十年的發展過程中,大量從業人員、組織養成了與開源社區合作的工作習慣,但對更高層面的`安全意識、合規意識,在思想上、制度上都有所不足。阿裏雲的漏報行為,也是這壹意識疏漏的壹次具體體現。
整體而言,此次事件對行業的影響是正面的,這是壹次警示、也是壹次示範。阿裏雲是行業領先的IT企業,這也是能夠率先發現全球重大安全漏洞的原因,而此次事件的發生,無疑將會增強計算機行業的安全合規意識,可以想見,無論是阿裏雲、還是其他諸多科技企業,都將在企業和組織內部增強合規培訓和流程規範。
阿裏雲回應被工信部嚴懲3近期,工信部網絡安全管理局通報稱,阿裏雲計算有限公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患後,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。
通報指出,阿裏雲是工信部網絡安全威脅信息***享平臺合作單位。經研究,工信部網絡安全管理局決定暫停阿裏雲作為上述合作單位6個月。暫停期滿後,根據阿裏雲整改情況,研究恢復其上述合作單位。
觀察者網日前曾對該事件做過詳細報道,11月24日,阿裏雲發現這個可能是“計算機歷史上最大的漏洞”後,率先向阿帕奇軟件基金會披露了這壹漏洞,但並未及時向中國工信部通報相關信息。這壹漏洞的存在,可以讓網絡攻擊者無需密碼就能訪問網絡服務器。
工信部通報阿帕奇Log4j2組件重大安全漏洞
阿帕奇(Apache)Log4j2組件是基於Java語言的開源日誌框架,被廣泛用於業務系統開發。近日,阿裏雲計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,並將漏洞情況告知阿帕奇軟件基金會。
該漏洞可能導致設備遠程受控,進而引發敏感信息竊取、設備服務中斷等嚴重危害,屬於高危漏洞。為降低網絡安全風險,提醒有關單位和公眾密切關註阿帕奇Log4j2組件漏洞補丁發布,排查自有相關系統阿帕奇Log4j2組件使用情況,及時升級組件版本。
工業和信息化部網絡安全管理局將持續組織開展漏洞處置工作,防範網絡產品安全漏洞風險,維護公***互聯網網絡安全。