阿裏雲因未及時報告嚴重漏洞而受到處罰。

阿裏雲因未及時上報嚴重漏洞被處罰，阿裏雲在中國雲市場占據重要地位，阿裏雲在2021第三季度以38.3%的份額領跑中國大陸市場，阿裏雲因未及時上報嚴重漏洞被處罰。

阿裏雲因未及時上報嚴重漏洞被罰款1。近日，工信部網絡安全管理局通報稱，阿裏雲計算有限公司未能及時向電信主管部門報告Apache)Log4j2組件存在的嚴重安全漏洞，未能有效支持工信部開展網絡安全威脅和漏洞管理工作。

通報稱，阿裏雲是工信部信息共享平臺的合作單位。經研究，工信部網絡安全管理局決定暫停阿裏雲作為上述合作單位6個月。暫停期滿後，根據阿裏雲內整改情況，將恢復上述合作單位。

Observer.com幾天前詳細報道了這壹事件。165438+10月24日，阿裏雲首次向阿帕奇軟件基金會披露了這壹漏洞，但未能及時告知中國工信部。該漏洞的存在使得網絡攻擊者無需密碼即可訪問網絡服務器。

工信部向Apache Log4j2組件通報重大安全漏洞

Apache log4j 2組件是基於Java語言的開源日誌框架，廣泛應用於業務系統開發。近日，阿裏雲計算有限公司發現了Apache Log4j2組件的遠程代碼執行漏洞，並將該漏洞告知了Apache Software Foundation。

該漏洞可能導致設備被遠程控制，進而導致敏感信息被竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網絡安全風險，提醒相關單位和公眾密切關註Apache Log4j2組件漏洞補丁發布情況，調查相關系統中Apache Log4j2組件的使用情況，及時升級組件版本。

工業和信息化部網絡安全管理局將繼續組織漏洞處置，防範網絡產品安全漏洞風險，維護公共互聯網網絡安全。

阿裏雲因未及時報告嚴重漏洞被處罰2 65438+2月23日晚間，阿裏雲計算有限公司(以下簡稱“阿裏雲”)就發現Apache(阿帕奇)Log4j2組件嚴重安全漏洞後未及時向電信主管部門報告壹事做出回應。阿裏雲表示，阿裏雲前期沒有意識到漏洞的嚴重性，沒有及時享受漏洞信息。阿裏雲將加強漏洞報告管理，提升合規意識，積極配合各方防範網絡安全風險。

阿裏雲表示，近日，阿裏雲壹名R&D工程師發現Log4j2組件存在安全bug，並根據行業慣例通過郵件向軟件開發者Apache開源社區報告了該問題，尋求幫助。Apache開源社區證實了這是壹個安全漏洞，並向全世界發布了修復程序。隨後，該漏洞被外界確認為全球重大漏洞。Log4j2是開源社區Apache的開源日誌組件，被世界各地的企業和組織廣泛應用於各種業務系統的開發中。

此前，阿裏雲曾為此受到處罰。2月22日，65438工信部網絡安全管理局通報稱，阿裏雲為工信部網絡安全威脅信息共享平臺合作單位。近期，阿裏雲公司未能及時向電信主管部門報告Apache)Log4j2組件的嚴重安全漏洞，未能有效支持工信部開展網絡安全威脅和漏洞管理。經研究，暫停阿裏雲公司作為上述合作單位6個月。暫停期滿後，根據阿裏雲公司整改情況，我們將研究恢復其上述合作單位。

65438年2月9日，工信部網絡安全威脅與漏洞信息共享平臺接到網絡安全專業機構報告，Apache Log4j2組件存在嚴重安全漏洞。工信部立即組織相關網絡安全專業機構開展漏洞風險分析，召集阿裏雲、網絡安全企業和網絡安全專業機構開展研判，通知並督促Apache軟件基金會及時修復漏洞，並向行業單位進行風險預警。

該漏洞可能導致設備被遠程控制，進而導致敏感信息被竊取、設備服務中斷等嚴重危害，屬於高危漏洞。為降低網絡安全風險，提醒相關單位和公眾密切關註Apache Log4j2組件漏洞補丁發布情況，調查相關系統中Apache Log4j2組件的使用情況，及時升級組件版本。

在科納仕公司發布《中國雲計算市場第三季度報告2021》之後，阿裏雲在中國雲市場占據了重要地位。報告顯示，2021第三季度，中國整體雲計算市場規模同比增長43%，達到72億美元。2021第三季度，阿裏雲以38.3%的份額領跑中國大陸市場，33.3%的年收入增長主要由互聯網、金融服務和零售行業拉動。

阿裏雲因未及時報告嚴重漏洞而受到處罰。近日有媒體報道稱，阿裏雲發現Apache Log4j2組件存在安全漏洞，但未能及時上報電信主管部門，未能有效支持工信部開展網絡安全威脅和漏洞管理。因此暫停阿裏雲作為上述合作單位半年。

曾經是技術圈的東西，也因此成為了社會熱點。壹時間，網友分成了兩個圈子——

非技術圈的人說:感覺阿裏雲只報了Apache這個技術社區，沒報組織，沒把國家安全放在心上。

技術圈說:當然是誰寫的bug，報給誰，Apache的‘安全漏洞’要報給Apache，不能上線。

23日晚，阿裏雲就log4j2漏洞發布聲明，誠懇認錯，並表示將加強漏洞報告管理，增強合規意識，積極配合各方做好網絡安全防範工作。

回顧這個非常技術性的話題，有許多事實需要澄清。

首先，什麽是Apache開源社區？Log4j2組件是什麽？

Apache是世界上有影響力的開源社區。根據官方網站，華為、騰訊和阿裏等中國公司是這個開源社區的主要貢獻者，還有谷歌和微軟等美國公司。全世界的軟件工程師都在這裏構建壹些基礎軟件組件，互相叠代，提高效率，這是軟件行業特有的現象。

這次發現漏洞的Log4j2是開源社區Apache擁有的開源日誌組件。許多企業將使用該組件開發自己的系統。當阿裏雲的工程師發現這個組件有問題時，他們通過郵件詢問Apache，要求社區確認是否是漏洞，並評估影響範圍。

然後Apache確認這是壹個bug，通知開發者修復。結果就出現了這個時候世界末日* * *的情況，漏洞壹起改。

但阿裏雲錯過了不久前上線的壹個官方舉報平臺，只按照行業慣例，通過郵件向軟件開發商Apache開源社區求助舉報這個問題。

其次，工信部暫停阿裏雲合作單位資格6個月。這是什麽意思？

據龔欣維保——“65438年2月9日，工信部網絡安全威脅與漏洞信息共享平臺接到網絡安全專業機構報告，Apache Log4j2組件存在嚴重安全漏洞。工信部立即組織相關網絡安全專業機構開展漏洞風險分析，召集阿裏雲、網絡安全企業、網絡安全專業機構等。開展研判，通知並督促Apache軟件基金會及時修復漏洞，並對行業單位進行風險預警。」

媒體報道的暫停6個月合作單位資格，並沒有出現在公開渠道。業內人士分析，這並不是嚴格意義上的“處罰”，否則不可能不公開舉報。其次，網絡安全威脅與漏洞信息共享平臺是壹個收集和報告網絡安全漏洞的平臺，暫停該平臺的合作資格不會影響業務。

工信部關於Log4j2漏洞的風險提示

但這件事，從側面反映了計算機行業普遍存在的意識疏忽。在國內計算機行業幾十年的發展過程中，大量的員工和組織已經養成了與開源社區合作的工作習慣，但他們在更高層次上的安全和合規意識在思想上和制度上是不足的。阿裏雲的疏漏也是這種意識疏漏的具體表現。

總的來說，這個事件對行業的影響是正面的，是壹個警示，也是壹個示範。阿裏雲是業內領先的IT企業，這也是它能在全球率先發現重大安全漏洞的原因。這壹事件的發生，無疑會增強計算機行業的安全合規意識。可以想象，無論是阿裏雲還是其他很多科技公司，都會加強企業和組織內部的合規培訓和流程規範。