阿里云瞒报LOG4J2漏洞被暂停合作单位身份6个月

对于任何一个软件系统来说,安全毫无疑问都是第一要素,一个系统哪怕处理速度再快、并发性再高,如果不能提供可靠的服务,那么再强的性能也将变得毫无意义。

前一段时间阿里云发生的瞒报事件想必大家都有所耳闻。12月9日突然曝出log4j2组件存在一个高危漏洞(漏洞编号:CVE-2021-44228),通过这一漏洞将可以对目标计算机实施远程控制并窃取上面的机密文件,因此对包括金融、医疗、公共事务在内的诸多领域产生了极为重大的威胁。

在漏洞曝出一天后的12月10日12点就已经发生了1万多起利用这个漏洞进行黑客攻击的行为。从造成的影响以及危害程度来说,这个漏洞可以说是有史以来最为严重的漏洞之一。威胁到了超过6万多个软件以及70%以上的线上业务系统。

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

阿里云瞒报LOG4J2漏洞

经过调查后发现,阿里云早在漏洞爆发前的11月24日就发现了这一高危漏洞,并将相关信息提交给美国阿帕奇软件基金会,但是却没有按照规定上报给国内工信部网络安全威胁和漏洞信息共享平台,因此也导致国内相关安全部门直到漏洞爆发之后才得到相关信息,使得大量的关键系统暴露在风险之下。

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

LOG4J2组件

作为国内云计算市场份额第一,全球市场份额第三的阿里云犯下这个错误无疑十分不应该。要知道云计算厂商的第一条准则就是遵守当地的法规,而阿里云作为一家国内厂商连自己国家的法规都无法遵守,那么在全球市场竞争的时候又如何去和亚马逊AWS、微软Azure进行竞争?

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

阿里云被暂停合作单位身份6个月

作为惩罚阿里云也遭到了暂停网络安全威胁信息共享平台合作单位资格6个月的惩罚。阿里云的问题在于明明身为合作单位却没有足够的安全意识和责任心,这种发现漏洞却不报告的行为无疑让阿里已经失去了作为网络安全威胁信息共享平台合作单位的资格。

当时在阿里遭到惩罚之后,很多人还为阿里鸣不平,认为对阿里的惩罚太重了。但是最近发生的一件事情却让人发现原来对于阿里云的惩罚很有先见之明。

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

出口管制规定名单

美国商务部工业和安全局(BIS)在近期正式发布了针对网络安全领域的最新的出口管制规定,这份规定按照限制的程度将全球国家分为A、B、C、D、E五类,中国就被划分至D类——在国家安全、生化、导弹技术、武器禁运等相关领域,美企在发送相关漏洞的信息情报之前必须提前申请,在获得批准之后才能够发送漏洞等相关信息。

这项规定对于我们的信息安全无疑将构成巨大的威胁。例如log4j2组件的高危漏洞影响范围很大,如果按照最新的出口管制规定,那么很有可能需要经过长时间的申请之后才能获准披露,甚至也有申请失败的可能性。这样就会导致我们很多的关键领域暴露在漏洞之下,存在着消息丢失和被窃取的风险。

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实很严重

美商务部

此时才发现对于阿里云的重罚确实有意义,也为其他企业划定了底线。随着漏洞情报也成为管制内容的一环,对于我们的国家安全信息也必须提出更高的要求。一旦发现漏洞应该先向国内的安全平台报告,然后再着手分享和修复等事宜,这样才能防止部分漏洞被控制而造成进一步的损失。

当然阿里云的功绩也不能否定,但功劳是功劳,过错是过错。也希望在这一次的安全事件以及美发布最新的出口管制规定之后,阿里能够迷途知返,为国家的信息安全系统做出更多的贡献。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 1219982080@qq.com 举报,一经查实,本站将立刻删除。

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-06-05 17:17
下一篇 2022-06-05 17:19

相关推荐

  • 闲鱼发布成功但找不到商品宝贝信息是什么原因

    导读 近期很多做闲鱼的小伙伴,出现了发布产品成功,发给别人却提示找不到或者已删除,甚至换个号发布也是一样的情况,这到底是什么原因? 我们又该如何解决? 症状分析 一般你将发布的宝贝发给朋友后,朋友打开就是下面这类提示: 如果你的产品出现了这种情况别着急,我们接着看,首先了解官方这么做的意图是什么,然后我们配合就是了。 官方解释 毕竟在别人的平台玩,知己知彼方…

    2022-05-09
    00
  • 国外公司注册信息查询(境外公司资料核查网站)

    1. HongKong(香港) 公司注册处信息系统http://www.icris.cr.gov.hk/csci/ 香港公司注册处官方网站可以查到公司编号、名字、及年报申报情况。但是股东和持股比例在网上是查不到的。本网站逢星期日早上七时至八时(香港时间)进行例行系统维修工作。网上查询23港币;加盖公章版本160港币。 2. 中国台湾 经济部商业司http:/…

    2022-04-09
    00
  • 全国首例短视频平台领域的网络“爬虫”案在无锡梁溪区法院宣判

    刷过带货短视频,同类产品商家就精准找上了门,你的用户信息可能被非法获取了。日前,全国首例短视频平台领域的网络“爬虫”案在无锡梁溪区法院宣判,被告人丁某因犯侵入计算机信息系统程序罪被判处有期徒刑一年六个月,缓刑二年,并处罚金3万元。 从法院获悉,2021年9月,丁某在网上结识丁某某(另案处理),后者表示有一款“爬虫”软件可以获取某短视频平台数据,通过输入关键词…

    资讯 2022-05-14
    00
  • 用电器上输入功率和额定功率、输出功率讲解

    在电器的铭牌上,我们常常能看见“输入功率”、“输入电流”、“输入电压”以及“输出功率”、“输出电流”、“输出电压”等参数。很多人面对这两种功率、两种电流就比较疑惑了,到底哪个才能体现出电器的耗电量呢?哪个才是线路中流过的电流呢?想知道这两个问题,我们首先要搞清楚“输入”和“输出”的区别。 输入功率与输出功率 牛吃的是草,挤的是奶——电器也是一样,消耗的是电,…

    2022-04-11
    00
  • 从美国站点、欧洲站点、日本站点一探2022选品趋势

    后疫情时代,消费者线下消费场景受限,全球消费往线上转移明显,电商市场占有率攀升。在全球市场中,中国的电商发展迅速,在过去一年的市场表现依旧亮眼,市场规模持续增长。 根据Roland Berger报告显示,在2021年中国跨境出口B2C电商市场交易规模已接近2.5万亿元,直播电商和社交电商浪潮已逐渐涌至全球。未来五年中国跨境电商预计将保持15-20%增速,稳住…

    资讯 2022-06-03
    00

发表回复

您的电子邮箱地址不会被公开。

联系我们

13515318674

在线咨询: QQ交谈

邮件:1219982080@qq.com