首发:白犀牛通信(公众号)
今天,阿里掉进一个新的漩涡。 工信部网络安全管理局通报称,阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。 通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
这个事情其实很好理解,没有网上舆论说得那么多阴谋论。 我们理一理这里面的逻辑—— 1. 阿里云凭借过硬的技术实力,发现了阿帕奇(Apache)Log4j2组件严重安全漏洞隐患。发现漏洞不是偶然,背后是技术实力的体现,从这一点来看,阿里云的技术确实很强大。 讽刺的是,前两天还在吹这个漏洞发现的多厉害,转眼就… 2. 阿里云向 Apche基金会上报了该漏洞,Apche作为一个开源软件基金会,也就是Log4j2项目的持有方,按照技术领域约定俗成的处理方式,确实应该第一时间提醒该项目的项目方该项目存在安全隐患。 这一点操作没有问题,尽到了开源社区成员应尽的义务。
3. 问题出在:阿里云忘记了自己的另一个身份——阿里云是工信部网络安全威胁信息共享平台合作单位。你可以认为,这只是一个偏公益性质的合作方式,但对于阿里云的客户来说,这个身份相当于工信部在为阿里云背书,这是很多中小玩家求之不得的。 阿里云一方面享受着这个身份带来的好处,一方面又不履行这个身份的义务,这就是问题的关键。 4. 其实谈到现在,我是能理解这个事件的——对阿里云来说确实是“无心之失”,发现漏洞的是个技术男,上报漏洞的也是个技术男,这条线上的技术男只醉心技术,只在乎自己在社区的名声和排名,根本不知道、也不关心阿里云有“工信部网络安全威胁信息共享平台合作单位”这个身份,这就是我们常说的技术男思维。 这样的事情我见过很多,甚至经历过一些。我相信在阿里云身上也不会是第一次发生,甚至在国内其他背靠开源的IT企业身上也发生过。
5. 那为什么工信部在这个时候“小题大作”地把阿里云拎出来“扇了俩耳光”呢?我认为这是一个信号——国家在信息安全上的力度越来越强了! 客观来说,Apache这个Log4j的Day0漏洞的影响面非常广,涉及的不仅仅是阿里云,其他绝大多数的云平台,或者自有的数据中心,都可能受到影响。从阿里云发现漏洞,报送了apache基金会,到工信部得知漏洞,期间有漫长的两周事件,谁也不能保证期间被人利用漏洞做坏事的可能。 互联网的安全系数,远远没有我们想象的那么安全。有些事情,尤其是这种关乎国家信息安全的事,犯一次错,那连第二次犯错的机会都极可能都不会有了。
6. 国资云的机会可能来了。云计算作为信息社会新基建的基石,其重要性不言而喻,阿里云作为国内云技术执牛耳者,一直被政府所倚重,这次事件给阿里云提了个醒:搞云技术,不能光看技术,还得时刻把国家利益放在首位。 此外,工信部这次公开“示众”,对阿里云的品牌是一次严重的打击,对于那些国资背景的云计算客户来说,也许阿里云已经不是最好的选择。
|