工信部明文規定，不知道阿里雲是忽略了還是無視掉了，在發現重大漏洞後未按照明確要求上報給上級主管部門，直接報給了外國開源組織基金會，就沒有然後了，半個月後，行業組織公布了安全報告，我們的主管部門才知道，漏洞危機下，全國裸奔2周。

最終，阿里雲被管理部門重罰，暫停網絡安全威脅信息共享平台合作單位6個月。

今天和大家聊一下，這個事到底咋回事？是什麼性質？對阿里雲會產生什麼影響。

如果是從事網絡安全相關的工作，一定在知道前段時間爆出的一個重大漏洞，阿帕奇（Apache）Log4j2組件安全漏洞，因為它的使用範圍太大了，漏洞被利用的後果也非常嚴重。

然而，真正的問題在於，這個漏洞是阿里雲的一名安全工程師發現的。但阿里雲直接將漏洞上報給了行業組織，應不應該上報？應該。

但是，先不說你未按流程上報，你至少也得和主管部門通個氣吧？作為共享平台合作單位，也應該及時上報給國家的網絡安全威脅和漏洞信息共享平台，何況主管部門有明文規定，今年9月1日才開始實施的新政策。

要不然，我們國家建設這個平台幹嘛？阿里雲作為合作單位，明明最早發現，卻不說，這相當於是對兄弟們的背刺，因為漏洞有除阿里雲之外的其他人得知了。也就是說，在漏洞被修復前，很可能被其他人利用，況且還是個外國組織。那麼同作為共享平台合作單位的兄弟們裸奔了兩周，你至少告知一下嘛。

再說流程上的事。

阿里雲作為中國網絡安全威脅信息共享平台合作單位，而且是重量級的，又是國內遙遙領先的雲公司，說它不知道有這個規定，我想是不可能的，但是卻直接無視掉了。

什麼性質呢？往小了說是阿里雲員工疏忽了。往大了說，就是公司不重視上級管理部門的規定，同時也是阿里雲內部的管理問題，並非技術問題。反而，技術團隊能首先發現嚴重漏洞，恰恰證明研發能力強。

上級管理部門的處罰內容中，點名批評了直接向國外CVE報送的Log4j2漏洞的那個安全專家，卻沒有對安全研發人員做任何點名和批評，就可以看出來問題在哪。

阿里雲的漏洞管理流程和上報機制是存在問題的，我並不清楚其內部的具體規定，但是，阿里雲這麼大的企業，應該是有相應評價體系的，也許就是發現的漏洞獲得某些組織的確認，便可以獲得某些激勵。

這叫什麼？不重視，不當回事。

對於阿里來說，這次的處罰還是會造成一定影響的。首要的就是客戶或者是意向客戶的流失，當前的雲市場競爭已經非常激烈，阿里雲雖然遙遙領先，但是華為雲、騰訊雲等其他雲公司也在迅速增長。況且，當前正處於逐步加強信息安全的敏感時期，國資雲逐步成立。

阿里雲被上級主管部門公開處罰，點名批評。一定會影響客戶的採購決策。

不過，因為這次漏洞影響範圍巨大，阿里雲也是被當作典型被通報了，剛剛實施了新政策，就往槍口上撞，正好也整頓一下國內網絡安全方面的相關意識和流程。