通信人家园
标题: 从阿里云事件谈起:1.搞云计算不光看技术;2.国资云的春天到了! [查看完整版帖子] [打印本页]
时间: 2021-12-22 22:11
作者: 苏阿阿
标题: 从阿里云事件谈起:1.搞云计算不光看技术;2.国资云的春天到了!
首发:白犀牛通信(公众号)
今天,阿里掉进一个新的漩涡。
工信部网络安全管理局通报称,阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
这个事情其实很好理解,没有网上舆论说得那么多阴谋论。
我们理一理这里面的逻辑——
1. 阿里云凭借过硬的技术实力,发现了阿帕奇(Apache)Log4j2组件严重安全漏洞隐患。发现漏洞不是偶然,背后是技术实力的体现,从这一点来看,阿里云的技术确实很强大。
讽刺的是,前两天还在吹这个漏洞发现的多厉害,转眼就…
2. 阿里云向 Apche基金会上报了该漏洞,Apche作为一个开源软件基金会,也就是Log4j2项目的持有方,按照技术领域约定俗成的处理方式,确实应该第一时间提醒该项目的项目方该项目存在安全隐患。
这一点操作没有问题,尽到了开源社区成员应尽的义务。
3. 问题出在:阿里云忘记了自己的另一个身份——阿里云是工信部网络安全威胁信息共享平台合作单位。你可以认为,这只是一个偏公益性质的合作方式,但对于阿里云的客户来说,这个身份相当于工信部在为阿里云背书,这是很多中小玩家求之不得的。
阿里云一方面享受着这个身份带来的好处,一方面又不履行这个身份的义务,这就是问题的关键。
4. 其实谈到现在,我是能理解这个事件的——对阿里云来说确实是“无心之失”,发现漏洞的是个技术男,上报漏洞的也是个技术男,这条线上的技术男只醉心技术,只在乎自己在社区的名声和排名,根本不知道、也不关心阿里云有“工信部网络安全威胁信息共享平台合作单位”这个身份,这就是我们常说的技术男思维。
这样的事情我见过很多,甚至经历过一些。我相信在阿里云身上也不会是第一次发生,甚至在国内其他背靠开源的IT企业身上也发生过。
5. 那为什么工信部在这个时候“小题大作”地把阿里云拎出来“扇了俩耳光”呢?我认为这是一个信号——国家在信息安全上的力度越来越强了!
客观来说,Apache这个Log4j的Day0漏洞的影响面非常广,涉及的不仅仅是阿里云,其他绝大多数的云平台,或者自有的数据中心,都可能受到影响。从阿里云发现漏洞,报送了apache基金会,到工信部得知漏洞,期间有漫长的两周事件,谁也不能保证期间被人利用漏洞做坏事的可能。
互联网的安全系数,远远没有我们想象的那么安全。有些事情,尤其是这种关乎国家信息安全的事,犯一次错,那连第二次犯错的机会都极可能都不会有了。
6. 国资云的机会可能来了。云计算作为信息社会新基建的基石,其重要性不言而喻,阿里云作为国内云技术执牛耳者,一直被政府所倚重,这次事件给阿里云提了个醒:搞云技术,不能光看技术,还得时刻把国家利益放在首位。
此外,工信部这次公开“示众”,对阿里云的品牌是一次严重的打击,对于那些国资背景的云计算客户来说,也许阿里云已经不是最好的选择。
时间: 2021-12-22 22:43
作者: youx
数据中心 硬件发展 很超前了
数据中心 软件发展
服务器 虚拟化 超融合 分布式存储 数据库 技术 发展 很慢
时间: 2021-12-22 23:01
作者: 虚拟语气
想当然的来了,晕计算不上量玩得起吗?阿里云这么多年也是勉强盈利。
时间: 2021-12-23 00:43
作者: cqadsl
傲慢与不屑白
时间: 2021-12-23 00:53
作者: 大头you
没有金刚钻,想揽瓷器活。
时间: 2021-12-23 01:16
作者: 乂夂
不如说国内官僚主义导致这技术没法传导到对应部门。
而不是技术人员考虑不充分,信息不通在各个政府部门司空见惯,没人去重视,甚至没有提出这些问题如何优化,怪人不主动,就是一种懒政。
所有东西都是要磨合的,朝令夕改,不讨论出一个标准方案,不正常执行,这些情况在政府里面简直太普遍了。
本质就这样,除非有新的指导思想去传达,贯彻,不然关键时刻依旧这样。
时间: 2021-12-23 08:00
作者: 六韬三略
提示: 作者被禁止或删除 内容自动屏蔽
时间: 2021-12-23 08:08
作者: cnqq9999
路过
时间: 2021-12-23 08:26
作者: ro4074
华为腾讯云都没说话呢,国资云就春天了。别的不说,先扛一个12306流量看看。
时间: 2021-12-23 08:35
作者: adamth
敲打阿里云是正常的,过去这种小错误罚酒三杯就过去了,现在没人惯着阿里了,正好借机往部门里塞政府的监管人员,实施“整改”方案
时间: 2021-12-23 08:48
作者: Yan-YY
什么是国资云?设备/技术支持/日常运营等,仍然是设备厂商在提供。
时间: 2021-12-23 09:26
作者: 家园小奴工
乂夂 发表于 2021-12-23 01:16
不如说国内官僚主义导致这技术没法传导到对应部门。
而不是技术人员考虑不充分,信息不通在各个政府部门司 ...
你意思是:阿里已经上报,工信部没有处理?实锤了吗?这种事情不能靠想象啊。
时间: 2021-12-23 09:28
作者: 家园小奴工
ro4074 发表于 2021-12-23 08:26
华为腾讯云都没说话呢,国资云就春天了。别的不说,先扛一个12306流量看看。
首先,运营商的网络能支撑12306流量没有?
时间: 2021-12-23 09:31
作者: 114_starlight
不明觉厉~
时间: 2021-12-23 09:45
作者: 小胖0v0
家园小奴工 发表于 2021-12-23 09:28
首先,运营商的网络能支撑12306流量没有?
运营商的网络能不能支撑?你这个问的就有问题啊?不用运营商的网络,你怎么访问的12306?12306的服务器可是在国内啊,不通过运营商,难道通过量子力学访问吗?
时间: 2021-12-23 09:58
作者: 荆楚阳光
路过
时间: 2021-12-23 10:24
作者: piview
我就想问问,报给GXB,GXB能在14天内做出补丁给各大使用APACHE的单位去修补漏洞吗?
时间: 2021-12-23 10:54
作者: zlk_zlk
家园小奴工 发表于 2021-12-23 09:28:18 首先,运营商的网络能支撑12306流量没有?
笑话,你直接去托管机房抢票的?
时间: 2021-12-23 10:57
作者: huangl23
各路豪强都在玩釜底抽薪,在你不需要帮助时候给你来个雪中送炭,在你需要帮助的时候给你来个釜底抽薪
时间: 2021-12-23 11:00
作者: nbbigsky
piview 发表于 2021-12-23 10:24
我就想问问,报给GXB,GXB能在14天内做出补丁给各大使用APACHE的单位去修补漏洞吗?
既然阿里不把gxb看在眼里,gxb把阿里移除名单,阿里肯定应该觉得无所谓了
时间: 2021-12-23 11:12
作者: oooooooo
piview 发表于 2021-12-23 10:24
我就想问问,报给GXB,GXB能在14天内做出补丁给各大使用APACHE的单位去修补漏洞吗?
GXB又不负责打补丁,但可以通知各单位做好防护
时间: 2021-12-23 11:17
作者: HIRAETH
虚拟语气 发表于 2021-12-22 23:01
想当然的来了,晕计算不上量玩得起吗?阿里云这么多年也是勉强盈利。
格局小了,信息安全才是国家考虑的第一位,能不能盈利都是次要的。
时间: 2021-12-23 11:30
作者: zjm1683
支持严查小马,面由心生一个钉钉已经激起民愤了又要抢社区卖菜的生意,还有国家也应该禁止单位使用微信办公
时间: 2021-12-23 11:35
作者: rapemeist
运营商给基层下达明年的指标,又有借口大涨了
时间: 2021-12-23 12:36
作者: 飞翔的湖南人
piview 发表于 2021-12-23 10:24
我就想问问,报给GXB,GXB能在14天内做出补丁给各大使用APACHE的单位去修补漏洞吗?
国家法律法规就凭你问问给否定了?真是无法无天,天生反骨啊。
时间: 2021-12-23 12:51
作者: hbe01563jp
本帖最后由 hbe01563jp 于 2021-12-23 12:53 编辑
zjm1683 发表于 2021-12-23 11:30
支持严查小马,面由心生一个钉钉已经激起民愤了又要抢社区卖菜的生意,还有国家也应该禁止单位使用微信办公
我们这里已经通知到位了,全部换内部即使办公工具,至于效果,先不提,今天下APP
时间: 2021-12-23 13:35
作者: qkb_75@163.com
有心还是无心??
谁说得清呢!!
从处罚的离度来看,
我坚决拥护政府!!
时间: 2021-12-23 13:57
作者: 六韬三略
提示: 作者被禁止或删除 内容自动屏蔽
时间: 2021-12-23 14:28
作者: 虚拟语气
HIRAETH 发表于 2021-12-23 11:17
格局小了,信息安全才是国家考虑的第一位,能不能盈利都是次要的。
米帝国防云服务都可以交给微软。
本朝都不信任自己的企业,换成国企又怎么样?一把手诸如网信办主任这样的都不靠谱。
时间: 2021-12-23 14:28
作者: mapoo
中国的码农需要好好学习一下国际政治了!
时间: 2021-12-23 15:20
作者: moonsharp
piview 发表于 2021-12-23 10:24
我就想问问,报给GXB,GXB能在14天内做出补丁给各大使用APACHE的单位去修补漏洞吗?
报不报和后面监管单位怎么处理是两码事
时间: 2021-12-23 15:28
作者: termite2013
nbbigsky 发表于 2021-12-23 11:00
既然阿里不把gxb看在眼里,gxb把阿里移除名单,阿里肯定应该觉得无所谓了
兄台这是在说笑么?
时间: 2021-12-23 15:39
作者: nbbigsky
termite2013 发表于 2021-12-23 15:28
兄台这是在说笑么?
如果放在眼里,就不会无视gxb的规定了
时间: 2021-12-23 15:57
作者: termite2013
nbbigsky 发表于 2021-12-23 15:39
如果放在眼里,就不会无视gxb的规定了
我相信流程上设置个把关的就可以了。其实也不用把大企业想象的有多么正规,一丝不漏的。大家都是人,是人就会有弱点,就会犯各种各样的错误,有各种各样的毛病。
时间: 2021-12-23 16:43
作者: oooooooo
termite2013 发表于 2021-12-23 15:57
我相信流程上设置个把关的就可以了。其实也不用把大企业想象的有多么正规,一丝不漏的。大家都是人,是人 ...
说的没错,但犯了错受罚也是应该的。
时间: 2021-12-23 16:46
作者: njuwysy
态度,还是态度的问题
时间: 2021-12-23 17:00
作者: allen20031
乂夂 发表于 2021-12-23 01:16
不如说国内官僚主义导致这技术没法传导到对应部门。
而不是技术人员考虑不充分,信息不通在各个政府部门司 ...
呵呵
时间: 2021-12-23 17:14
作者: coffee198375
国资云要上位了。。。。
时间: 2021-12-23 22:03
作者: 云中云
提示: 作者被禁止或删除 内容自动屏蔽
时间: 2021-12-24 11:31
作者: 夜听雨1017
国资云真的快来了吗
时间: 2021-12-24 17:12
作者: mxxmzmx
品牌力和执行力
时间: 2021-12-24 19:38
作者: termite2013
本帖最后由 termite2013 于 2021-12-24 19:38 编辑
oooooooo 发表于 2021-12-23 16:43
说的没错,但犯了错受罚也是应该的。
我以前的单位里,有同事把给客户做的二次开发的源代码放XXXHub上去,结果被客户发现了。被投诉之后只能被fire了。其实没有人会对那二次开发的东西感兴趣的。
时间: 2021-12-25 09:53
作者: Deniss
混乱想象的垃圾。阿里云有错漏,没有尽到责任就该受相应处罚,但你也不要凭空想象,胡扯二百八!
时间: 2021-12-26 17:09
作者: sdn控
看看国资云人数就清楚了
时间: 2022-2-16 14:19
作者: cangyue0608
阿里云不是一次两次了吧
附件: 8ad4b31c8701a18b15c7852a48230d012838feb9.jpeg (2022-2-16 14:19, 21.55 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NTE4MDUwfDNiZGEzMzlifDE3MzI2NjA0NzZ8MHww
通信人家园 (https://www.txrjy.com/) |
Powered by C114 |