“网趣科技馆”原创文章,未经许可严禁搬运、抄袭,违者必究阿里对处罚坚决服从!
“网趣科技馆”原创文章,未经许可严禁搬运、抄袭,违者必究阿里对处罚坚决服从!
阿里发现核弹级漏洞,先向美国报告!工信部处罚阿里到底冤不冤!
阿里发现核弹级漏洞
这两天爆出阿里对处罚坚决服从了大新闻,是昨天工信部发出通告,指暂停与阿里云的国家安全漏洞和国家网络安全信息共享平台的合作伙伴关系六个月,责令阿里云整改,整改后视情况再决定是否重新合作。
阿里发现核弹级漏洞
事情大致是在11月份,也就是一个月以前,阿里云技术团队中有一位大牛工程师,发现了阿帕奇组件中存在一个核弹级漏洞,是一个JAVA程序,这名工程师第一时间联系了美国阿帕奇软件公司。
因为阿帕奇软件是这家公司提供的,现在出现了问题,就像淘宝买到次品,需要找商家反馈一样,阿里工程师也没有多想,就运用了淘宝思维直接找到了厂家阿帕基基金会,告诉说你们这个有漏洞,赶紧处理。
但是,重点来了,阿里对处罚坚决服从他居然忘记了阿里云是国家信息安全中心共享平台的合作伙伴这件事儿了,报告给美国之后,却没有向国家信息安全共享中心平台申报这漏洞问题。然后工程师们就回去睡觉了,第二天上班也就忘了这件事儿,反正有阿帕奇回去处理的。
展开全文
没有向工信部汇报
悠哉游哉过了半个月,中国工信部收到了网络安全报告,报告中阐述了这个阿帕奇漏洞的事情,说发现这个漏洞那个BUG,当然阿帕奇漏洞这件事儿也在报告上,工信部的专家一看不知道,一看吓一跳,因为这个漏洞是个核弹级的大漏洞!
也就是说,阿里发现了这个大漏洞,汇报给了美国,却没有汇报给工信部!
在这一点上趣馆长觉得是不妥的,因为这事关国家信息安全,最起码也是要第一时间向国家工信部汇报这一事件,并积极因对可能带来的危害。
工信部处罚冤不冤阿里对处罚坚决服从?
我国工信部最新发布的有一份文件,《网络产品安全漏洞管理规定》,文件中明确指出:国内安全研究人员发现漏洞之后,指需要报送国家信息安全共享平台即可,由国家信息安全平台去告诉中国信息安全测评中心,然后再由中国信息安全测评中心去协调厂商和企业修复安全漏洞,不允许直接向国外漏洞平台提交。
所以,趣馆长觉得此次阿里受罚,还是不冤的,应该吸取教训,毕竟国家安全信息安全是第一位。
写在最后
也就是说,阿里云这次跳过了中间环节,直接一步跳到了最后,与国家制定的信息漏洞提交的程序不符合。国家工信部认为这是一个违规的行为,而且这种淘宝思维要不得,比方说阿里平台上的买家可以直接一部付款给供货商,那么淘宝会同意吗?这是一个道理,所以,大家认为,处罚阿里应该还是不应该呢?
对此,你有什么不同看法吗?欢迎在下方评区留言!感谢你支持!记得动动手指关注“网趣科技馆”,记得转发和分享给身边的小伙伴哦!
