网站首页
手机版

阿里云未及时上报漏洞被工信部处罚(阿里云报警规则)

更新时间:2023-08-25 18:00:29作者:佚名

阿里云未及时上报漏洞被工信部处罚(阿里云报警规则)

工信部明文规定,不知道阿里云是忽略了还是无视掉了,在发现重大漏洞后未按照明确要求上报给上级主管部门,直接报给了外国开源组织基金会,就没有然后了,半个月后,行业组织公布了安全报告,我们的主管部门才知道,漏洞危机下,全国裸奔2周。

最终,阿里云被管理部门重罚,暂停网络安全威胁信息共享平台合作单位6个月。

今天和大家聊一下,这个事到底咋回事?是什么性质?对阿里云会产生什么影响。

如果是从事网络安全相关的工作,一定在知道前段时间爆出的一个重大漏洞,阿帕奇(Apache)Log4j2组件安全漏洞,因为它的使用范围太大了,漏洞被利用的后果也非常严重。

然而,真正的问题在于,这个漏洞是阿里云的一名安全工程师发现的。但阿里云直接将漏洞上报给了行业组织,应不应该上报?应该。

但是,先不说你未按流程上报,你至少也得和主管部门通个气吧?作为共享平台合作单位,也应该及时上报给国家的网络安全威胁和漏洞信息共享平台,何况主管部门有明文规定,今年9月1日才开始实施的新政策。

要不然,我们国家建设这个平台干嘛?阿里云作为合作单位,明明最早发现,却不说,这相当于是对兄弟们的背刺,因为漏洞有除阿里云之外的其他人得知了。也就是说,在漏洞被修复前,很可能被其他人利用,况且还是个外国组织。那么同作为共享平台合作单位的兄弟们裸奔了两周,你至少告知一下嘛。

再说流程上的事。

阿里云作为中国网络安全威胁信息共享平台合作单位,而且是重量级的,又是国内遥遥领先的云公司,说它不知道有这个规定,我想是不可能的,但是却直接无视掉了。

什么性质呢?往小了说是阿里云员工疏忽了。往大了说,就是公司不重视上级管理部门的规定,同时也是阿里云内部的管理问题,并非技术问题。反而,技术团队能首先发现严重漏洞,恰恰证明研发能力强。

上级管理部门的处罚内容中,点名批评了直接向国外CVE报送的Log4j2漏洞的那个安全专家,却没有对安全研发人员做任何点名和批评,就可以看出来问题在哪。

阿里云的漏洞管理流程和上报机制是存在问题的,我并不清楚其内部的具体规定,但是,阿里云这么大的企业,应该是有相应评价体系的,也许就是发现的漏洞获得某些组织的确认,便可以获得某些激励。

这叫什么?不重视,不当回事。

对于阿里来说,这次的处罚还是会造成一定影响的。首要的就是客户或者是意向客户的流失,当前的云市场竞争已经非常激烈,阿里云虽然遥遥领先,但是华为云、腾讯云等其他云公司也在迅速增长。况且,当前正处于逐步加强信息安全的敏感时期,国资云逐步成立。

阿里云被上级主管部门公开处罚,点名批评。一定会影响客户的采购决策。

不过,因为这次漏洞影响范围巨大,阿里云也是被当作典型被通报了,刚刚实施了新政策,就往枪口上撞,正好也整顿一下国内网络安全方面的相关意识和流程。

本文标签: [db:关键词]  

为您推荐

电脑时间同步软件哪个好

电脑显示的时间不对,显示时间同步服务器出错怎么办呢?下面小编介绍下设置方法。电脑时间总是不对解决方法1、点击右下角时间,选择更改日期和时间设置, 2、点击Internet时间,选择更改设置, 3、

2023-08-25 18:00

华为折叠屏新机相比三星有何异同

时间已经快到年底了,回顾2021年的手机市场,各大品牌的竞争依然十分激烈,不过与往年不同的是,今年有不少的厂商都推出了自家的折叠屏产品,凭借着创新的形态和交互设计,吸引了众多消费者的眼球。近日就有up

2023-08-25 18:00

阿里云未及时上报漏洞被工信部处罚(阿里云报警规则)

工信部明文规定,不知道阿里云是忽略了还是无视掉了,在发现重大漏洞后未按照明确要求上报给上级主管部门,直接报给了外国开源组织基金会,就没有然后了,半个月后,行业组织公布了安全报告,我们的主管部门才知道,

2023-08-25 18:00

"被儿子送精神病院",湖南千万富翁已自杀

千万富翁被儿子送精神病院:已自缢

2023-08-25 17:29

东电声称福岛核污染水排海后最新海水检测结果没问题,外交部回应

东电声称福岛核污染水排海后最新海水检测结果没问题,外交部回应,福岛,外交部,汪文斌,日本政府,污染水,核污染

2023-08-25 17:29

岸田声称将推动中日专家展开讨论,中方是否会考虑?外交部回应

岸田声称将推动中日专家展开讨论,中方是否会考虑?外交部回应,外交部,汪文斌,日本政府,福岛,核污染,核事故

2023-08-25 17:28