阿里云摊上大事了

开门见山，阿里云摊上大事了！

12月22日，阿里云被暂停作为工信部网络安全威胁信息共享平台合作单位，时间为6个月。当天，该消息受到社会各界的广泛关注。

具体原因如下：

根据工信部通报，阿里云作为工信部网络安全威胁信息共享平台合作单位，在发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

翻译过来就是，发现网络安全漏洞未及时向国内相关主管报告，那么阿里云向“谁”报告了呢？

梳理事件发展时间线如下：

据观察者网，阿里云在11月24日在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j2内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

12月17日，工信部发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》称，在12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

12月14日，中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

从上述风险提示可得到的信息，一是工信部知道安全漏洞信息来源于机构报告，而非阿里云；二是工信部比阿里云报告给阿帕奇软件基金会的时间足足晚了15天。

先科普一下，阿帕奇Log4j2组件的重要程度如何呢？

据工信部，阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发，而阿里云发现并报告阿帕奇软件基金会的安全漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。

另外，观察者网引用国外网友漫画，形象生动的说明Log4j2组件的重要性（如下图）。

若用建筑物大厦来形容的话，Log4j2起到的作用虽然不是奠基，但却可以算是“不可或缺”栋梁，一旦缺失，大厦将倾倒。

上述媒体经过对资深业内人士的采访，得出对该漏洞的总结是，这一漏洞可以让网络攻击者无需密码就能访问网络服务器。

简单来说，这一漏洞为诸多黑客的进攻大开方便之门。值得指出的是，该漏洞被证实为一个全球性的重大漏洞。

如此严重的安全漏洞，阿里云第一时间将其报告给阿帕奇软件基金会，而且在此后长达半个月的时间没有报告给国家网络安全威胁和漏洞信息共享平台。

阿里云的做法是否合理呢？

百度百科资料显示，阿帕奇软件基金会是专门为支持开源软件项目而办的一个非盈利性组织，位于美国，在它所支持的Apache项目与子项目中，所发行的软件产品都遵循Apache许可证（Apache License）。组织构成包括理事会及项目管理委员会。

根据2010年7月的理事会成员信息，其理事主要来源于IBM、Cloudera、DAY SOFTWARE、Google等美国企业。可以理解成一家具有美国众多企业基因的非营利性组织。

12月23日，阿里云官方发布的《关于开源社区Apache log4j2漏洞情况的说明》指出，近日，阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。

阿里云在说明当中解释了为什么没向国家网络安全威胁和漏洞信息共享平台报告的原因，即“工程师发现安全漏洞，遂按业界惯例以邮件求助”。以及为什么未及时共享漏洞信息，即“在早期未意识到该漏洞的严重性”。

简单分析一下，阿里云对外报告安全漏洞信息绝非工程师一人所能决定的，那么阿里云对外报告安全漏洞信息需要经过哪些部门、哪些领导同意呢？这么大的企业，总不可能没有审批流程吧？

根据IDC发布的2021年第一季度中国公有云市场数据显示，季度内IaaS+PaaS市场规模达46.32亿美元，而阿里云以40%的市场份额在国内市场遥遥领先，即，阿里云在国内云计算市场处于绝对的领先地位。

国内云计算的一哥阿里云居然给出“在早期未意识到该漏洞的严重性”的说明，这个理由居然让我“无语凝噎”。

作为阿里云的工程师以及相关部门的领导，是否真的不知道Log4j2组件的重要性？假设真的不知道，难道这些所谓工程师、部门领导都是“水货”，没有真才实学？

来看看相关政策。

2017年6月1日起实施的《中华人民共和国网络安全法》第二十二条，网络产品、服务的提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第二十五条，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

另外，今年9月1日起实施的《网络产品安全漏洞管理规定》第七条，网络产品提供者发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。

应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

不管是网络安全法还是安全漏洞管理规定，都明确网络运营者在发现安全漏洞等风险时需要向主管部门报告，而最新的规定更是要求网络运营者在发现安全漏洞时要在2日内向相关部门报告漏洞信息。

同时，上述相关政策也明确网络运营者要评估安全漏洞的危害程度和影响范围。

就是不知道国内云计算一哥阿里云相关人员有没有熟读上述管理明细，在本次发现安全漏洞时有没有对安全漏洞的危害程度和影响范围进行评估呢？

不过可惜的是，据《网络产品安全漏洞管理规定》第六十条，网络运营者对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处五万元以上五十万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

这个惩罚属实是“轻于鸿毛”，但针对如此重大的安全漏洞，是否应该对“阿里云”进行特殊对待，毕竟本次的安全漏洞影响、波及太大。同时，随着网络信息的飞速发展，或许需要对惩罚做进一步修订量化。