[[442714]]

本文轉載自微信公眾號「Java極客技術」，作者鴨血粉絲Tang。轉載本文請聯系Java極客技術公眾號。

相信大家最近都看到了兩個新聞，一個是 Log4j2 的漏洞事件，一個是阿里云被工信部暫停合作六個月。這兩個事件的關聯是因為工信部發布通告說阿里云在合作期間未及時告知合作伙伴 Log4j2 的漏洞，沒有有效支撐工信部開展網絡安全威脅和漏洞管理。原文如下：

事情被曝光出來后，在某乎和某脈上面也引起了廣泛的討論，主要討論的點有兩個：1. 發現漏洞的員工績效應該是 3.75 還是 3.25?2. 阿里云的做法是否有問題。

在阿粉看來，這個問題本身應該是管理問題并非技術問題，發現漏洞的人很有可能是一線安全員，發現了一個漏洞按照業界慣例以郵件方式向軟件開發方 Apache 開源社區報告這一問題請求幫助，技術人員對影響的范圍不能考慮的很全面，而且公司員工那么多，并不是每個人都清楚跟工信部報告的流程，所以這大概率是管理問題。

這么來看發現漏洞的安全人員，從技術的角度來看打個 3.75 是不過分的，不過還是要看領導是什么樣的人呢，畢竟帶來的影響也不小，萬一被穿小鞋了呢?

另外在漏洞報告到全報爆發持續了十多天的時間，這一段時間其影響范圍已經明顯很廣泛了，這個時候阿里云卻沒有引起重視，未及時上報工信部，著實是有很大的問題。既然阿里云跟工信部是合作伙伴的關系，有責任和義務及時上報工信部，同時阿里云作為國內主要的云計算廠商，阿里作為國內頭部企業已經不單單是一家公司，一家企業了，要承擔更多的社會責任，把自身的利益跟國家的利益綁定在一起。

針對這件事情有網友說到下面幾種情況，很值得品一品：

• 如果說發現漏洞先報告國家，再通知 Apache，這算屁股紅。
• 如果說發現漏洞先報告 Apache 再馬上告訴國家，這算技術牛，懂大局。
• 如果說發現漏洞先報告 Apache 再規定時間內告訴國家，這算正常商業，無可厚非。
• 如果說發現漏洞先報告 Apache 然后就不管，等 Apache 公布漏洞后，國家才知道，這就有意思了。

原本在 12.10 號漏洞剛剛在網上暴露的時候，很多人都在討論，是哪家公司，哪個大牛發現了這個漏洞，當時有消息說是阿里云最新發現并上報的，大家都還很贊賞，別說是阿里，當時估計很多人都不知道這個要上報工信部。

不過話說回來，工信部的通報還是很對的，這件事情從大局的角度來看，確實是阿里云做的不對，缺乏主動報備意識，說白了這種級別的安全漏洞如果被黑客或者其他不法分子加以利用的話，說不定會造成無法估計的后果。暫停六個月的合作懲罰不算輕也不算重，但是對名譽還是有所影響的，只能說后期在流程這塊要更加注重。 

不過也不用過于擔心，畢竟阿里云作為國內以及國際上頂尖的云計算公司，每天發現的漏洞可能成千上百，偶爾遇到這樣一次核彈級的漏洞再加上這樣的管理失誤也不會很多，相信后面漏洞管理流程會越來越完善。