阿里云瞒报LOG4J2漏洞被暂停合作单位身份6个月

对于任何一个软件系统来说,安全毫无疑问都是第一要素,一个系统哪怕处理速度再快、并发性再高,如果不能提供可靠的服务,那么再强的性能也将变得毫无意义。

前一段时间阿里云发生的瞒报事件想必大家都有所耳闻。12月9日突然曝出log4j2组件存在一个高危漏洞(漏洞编号:CVE-2021-44228),通过这一漏洞将可以对目标计算机实施远程控制并窃取上面的机密文件,因此对包括金融、医疗、公共事务在内的诸多领域产生了极为重大的威胁。

在漏洞曝出一天后的12月10日12点就已经发生了1万多起利用这个漏洞进行黑客攻击的行为。从造成的影响以及危害程度来说,这个漏洞可以说是有史以来最为严重的漏洞之一。威胁到了超过6万多个软件以及70%以上的线上业务系统。

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

阿里云瞒报LOG4J2漏洞

经过调查后发现,阿里云早在漏洞爆发前的11月24日就发现了这一高危漏洞,并将相关信息提交给美国阿帕奇软件基金会,但是却没有按照规定上报给国内工信部网络安全威胁和漏洞信息共享平台,因此也导致国内相关安全部门直到漏洞爆发之后才得到相关信息,使得大量的关键系统暴露在风险之下。

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

LOG4J2组件

作为国内云计算市场份额第一,全球市场份额第三的阿里云犯下这个错误无疑十分不应该。要知道云计算厂商的第一条准则就是遵守当地的法规,而阿里云作为一家国内厂商连自己国家的法规都无法遵守,那么在全球市场竞争的时候又如何去和亚马逊AWS、微软Azure进行竞争?

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

阿里云被暂停合作单位身份6个月

作为惩罚阿里云也遭到了暂停网络安全威胁信息共享平台合作单位资格6个月的惩罚。阿里云的问题在于明明身为合作单位却没有足够的安全意识和责任心,这种发现漏洞却不报告的行为无疑让阿里已经失去了作为网络安全威胁信息共享平台合作单位的资格。

当时在阿里遭到惩罚之后,很多人还为阿里鸣不平,认为对阿里的惩罚太重了。但是最近发生的一件事情却让人发现原来对于阿里云的惩罚很有先见之明。

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

出口管制规定名单

美国商务部工业和安全局(BIS)在近期正式发布了针对网络安全领域的最新的出口管制规定,这份规定按照限制的程度将全球国家分为A、B、C、D、E五类,中国就被划分至D类——在国家安全、生化、导弹技术、武器禁运等相关领域,美企在发送相关漏洞的信息情报之前必须提前申请,在获得批准之后才能够发送漏洞等相关信息。

这项规定对于我们的信息安全无疑将构成巨大的威胁。例如log4j2组件的高危漏洞影响范围很大,如果按照最新的出口管制规定,那么很有可能需要经过长时间的申请之后才能获准披露,甚至也有申请失败的可能性。这样就会导致我们很多的关键领域暴露在漏洞之下,存在着消息丢失和被窃取的风险。

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

美商务部

此时才发现对于阿里云的重罚确实有意义,也为其他企业划定了底线。随着漏洞情报也成为管制内容的一环,对于我们的国家安全信息也必须提出更高的要求。一旦发现漏洞应该先向国内的安全平台报告,然后再着手分享和修复等事宜,这样才能防止部分漏洞被控制而造成进一步的损失。

当然阿里云的功绩也不能否定,但功劳是功劳,过错是过错。也希望在这一次的安全事件以及美发布最新的出口管制规定之后,阿里能够迷途知返,为国家的信息安全系统做出更多的贡献。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 1219982080@qq.com 举报,一经查实,本站将立刻删除。

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-06-05 17:17
下一篇 2022-06-05 17:19

相关推荐

  • 电商客服客服话术和自动回复语大全(2022已更新:推荐)

    电商客服客服话术和自动回复语大全 方案一 11.11购物狂欢节 1 .接待开场白: 亲,您好,非常高兴为您服务了,有什么可以为您效劳的呢? 亲,您看中的这款宝贝是有现货的呢,现在全场做活动,满xx有活动,您看一下。(推出活动特款) 2.是否有货? 亲,您看中的这款宝贝是有现货的呢,您可以放心拍哦O(_)O~ 亲,非常抱歉这款宝贝已经没有现货了呢,您可以看一下…

    2022-10-24
    00
  • 亚马逊运营常见问题解答2023更新/推荐

    Q1:换了新办公室,网络IP也要换新的,请问会触发亚马逊店铺审核吗?只要不是频繁变换网络IP,正常是不会触发审核的。Q2:请问设置合仓之后的库存配置费用是怎么收取的?亚马逊的合仓配置费用是按件收取的,会根据产品的重量和尺寸来计算。如下:Q3:发往FBA仓库的标签,需要保持多长时间内清晰可辩和可扫描状

    2023-03-26
    00
  • 抖音奈何没有让某些人瞧(抖音秘密珍爱若何树立)2023推举

    现在在这个大数据时代,隐私保护显得格外重要,如何才能确保在这个大环境咱们的隐私信息不被泄露了,其实每个软件都是有隐私保护这个功能的,那么大家只需要去设置就好了。一、抖音隐私保护怎么设置?1、进入抖音主页,在下方点”我“功

    资讯 2023-02-25
    00
  • 淘宝联盟如何推广赚钱?有哪些推广方法?知识解答

    第一种是为自己购物或帮助他人代购,为自己购物就像淘宝或天猫一样,可以在聚算网上使用,淘宝网和天猫聚划算可以自己做购物换链接,也可以替别人买东西并赚取那差额。 淘宝联盟推广工具现如今有着不少卖家在进行使用

    2023-03-30
    00
  • 亚马逊礼品卡回收平台哪个最好?在哪里收

    如今说到在亚马逊上有很多用户都获得过礼品卡,这个礼品卡只能在亚马逊上使用,所以很多人不想用这个礼品卡,然后又了解到有一些平台可以回收这些亚马逊礼品卡,亚马逊礼品卡回收平台哪个最好?在哪里收?下面来看看吧。亚马逊礼品卡回收平台哪个最好?亚马逊礼品卡是亚马逊自定义的一种购物卡和礼品券,我们就可以使用亚马

    2023-03-27
    00

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

13515318674

在线咨询: QQ交谈

邮件:1219982080@qq.com