阿里云漏洞事件(阿里云漏洞事件为啥不上报)栏目:淘宝   发布于:2023-03-30 00:08

阿里云发现漏洞事件

阿里发现的那个漏洞,可以被称为计算机 历史 上最大的漏洞-核弹级漏洞,这个漏洞比较普遍,黑客可以通过这个漏洞在服务器上做任何事。开发者收到阿里提交的漏洞和开发者核实后发布安全警报并修补漏洞之间有一段空窗期,这段时间越短对网络安全越好。漏洞越大对黑客越方便,黑客或者外国情报部门可能会在这段时间尝试攻击一下以前没攻破的目标。如果工信部能早知道漏洞就能及时预警,避免不必要的损失。把重大漏洞先报给处于国外的开发者,却不按时上报国内的相关部门以便国内先做防护预警,可见阿里是有点飘了。从这件事可以提出两点:一,阿里确实是国内比较雄厚的企业,其他企业都不知道,说明它的实力超过其他公司!二,阿里这次做事确实有欠妥的地方,这个漏洞应该告知国家相关机构,让国内提前避免这个漏洞的严重性,以防万一!
阿里云发现漏洞事件

工信部暂停阿里云信息共享平台合作,这背后的原因是什么?

工信部这次暂停阿里云信息共享平台合作是因为阿里云在Web服务器阿帕奇下的开源日志组件log4j中发现了重大漏洞时并没有第一时间上报给工信部,而是上报了阿帕奇开源基金会。违反了工信部的规定将暂停阿里云作为信息共享平台的合作单位六个月,期满后根据阿里云的整改情况,在决定是否需要恢复阿里云合作单位的身份。log4j作为一款JAVA开发的开源日志记录工具,能够有效的记录程序在运行过程中产生的数据,对于分析系统存在的问题或者运行状态具有很大的作用,正因为log4j功能强大,所以在全球的使用性极其广泛。正因为其使用的范围很广,所以一旦出现问题,就会造成特别严重的后果。11月24日阿里云在log4j发现了Log4Shell重大漏洞,这个漏洞可以使得设备远程被控制,从而敏感信息会被窃取,设备中断等对系统造成严重的危害,属于高危漏洞,甚至有声音说这是十年来最大的漏洞。可是阿里云在发现这个漏洞后,并没有按照《网络产品安全漏洞管理规定》的要求 2天内向工信部门网络安全威胁和漏洞信息平台报送信息,而黑客在得知漏洞后,在72小时内就可以发起攻击,而国家安全漏洞共享平台在事情发生半个月后才获得这一漏洞。所以这次终止跟阿里云的合作,阿里云并不冤枉。再来看这件事对阿里云的影响,中信部门终止跟阿里云的合作,对阿里云在国内的发展势必造成影响,跟一些企业,尤其是国企的合作势必也会暂停。跟经济损失相比在信誉方面的损失会更大。你知道工信部暂停阿里云信息共享平台合作,这背后的原因是什么? 欢迎留言讨论。
背后的原因是与工信部和阿里云信息共享平台约谈,但是阿里云信息共享平台却没有按照规定来,于是工信部就暂停了合作。
因为阿里云在Web服务器,阿帕奇下的开源日志组件log4j中发现了重大漏洞,但是没有第一时间上报给工信部,而是上报了阿帕奇开源基金会,这样做违反了工信部的规定。
因为该平台发现了严重的漏洞而且未及时汇报,导致了一定的安全隐患,所以才会与之暂停合作6个月。
工信部暂停阿里云信息共享平台合作,这背后的原因是什么?

阿里云未及时上报漏洞被工信部处罚,此次处罚起到了怎样的警示作用?

阿里云未及时上报漏洞被工信部处罚,这次的处罚给了国内云计算领域,尤其是安全领域很大的警示作用。最重要的警示就是一定要详细了解并遵守电信主管部门的规定,否则将失去工信部重要的背书,如果没有工信部的背书,相信在国内的任何一家企业将很难再接到政府部门的项目。这次事件对阿里云的处罚个人觉得阿里云不冤。阿里云在发现阿帕奇服务器的日志组件漏洞后,第一时间选择报告给了美国的阿帕奇基金会,阿帕奇基金会在收到漏洞报告后第一时间发布了漏洞补丁,这操作在行业内部是没有问题的, 虽然技术没有国界之分,但是企业是有的。阿里云在履行了行业职责的同时却忘记了自己是工信部合作单位之一,没有履行国家的职责,所以这次处罚是应当的,下面就以个人观点来说一说这件事给了我们怎样的警示作用:一、危害严重这次的漏洞被誉为是十年来最大的安全漏洞,就是因为用到的那个日志组件使用的广泛性。但是工信部门却在事发半月后才接到别的企业通知,而黑客在这段时间足以造成严重破坏。二、加强学习任何一家在中国的企业首先应该遵守的就是国家的法律法规,阿里云这次之所以没有第一时间给电信主管部门报告漏洞,很大一部分原因可能就是对合作的要求条款不熟悉,只是遵守了行业规定,个人也相信阿里云不会明知条款而不去执行。所以要加强对条款的认知理解。三、警钟长鸣这次的事件虽然是处罚阿里云,但是对别的企业也有一定的震慑作用,要牢记国家的法律规定是第一位的。你觉得阿里云未及时上报漏洞被工信部处罚,此次处罚起到了怎样的警示作用?欢迎留言讨论。
这次处罚对阿里云的影响是非常大的,也让阿里云能够规范的上报信息,也能让阿里云正确的维护消费者的权益。
通过这次处罚,也给这些电商平台提供了警惕。在经营的过程中一定要遵守规则,不能随便侵犯消费者的权益。
使阿里云的信誉受到了一定的影响,我们遵守国家法律法规,不要心存侥幸,发现潜在风险要及时上报,以便作出相对应的对策。
让对方明白应该怎样做,可以更好的规范行为,避免一些企业做出损害国家利益的事情,避免出现更严重的漏洞,泄露人们的信息。
阿里云未及时上报漏洞被工信部处罚,此次处罚起到了怎样的警示作用?

如何看待这次阿里云未及时上报高危漏洞的事件?

既然是工信部网络安全的合作单位,发现安全漏洞当然是要第一时间上报工信部的,否则工信部跟它合作的意义在哪儿? 从开发者角度看这是一个程序员的正常操作,发现开源项目的漏洞 肯定先提issue,待开发者自己核实,不可能去报警,与其质疑这个,为什么不质疑为什么大家要用三个外国人写的代码呢?我是程序员,我觉得阿里做的没问题这事不能说太细风险意识不足,给我国安全构成极大风险。程序员的常规操作没有错,错在公司没有建立上报的制度和流程。公司的错误,不应该让普通员工来承担。看了所有的回复,都是为阿里开脱的,没有想到阿里的势力如此之大,流毒如此之深,确实令人恐怖,幸亏国家及时出手打击了阿里巴巴,要不然真的会如马云所意,左右与控制国家。管理者的问题,对会员单位的义务以及国家网络安全不在乎,所以也就被解除了会员。不是程序员,是大公司。做法是有区别的。 一贯的价值观导向导致的必然的结果,只不过,国际国内大环境变了,舆论环境变了,多金而豪华的所谓公关天团,只能徒呼奈何。
如何看待这次阿里云未及时上报高危漏洞的事件?

阿里云因未及时上报漏洞被处罚了,具体是被如何处罚的?

阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。这样的处罚可以说是对阿里云的一个警示,在国家反垄断的大背景下,阿里云失去了跟工信部的合作关系,对其承接国家项目尤其是一些国企的项目会带来严重影响。与经济影响相对的是这次处罚带来的信誉影响更严重。阿里云作为国内云计算的龙头企业,承担了90%以上的中小企业云计算功能,如此庞大的规模,稍有不慎就可能会满盘皆输。下面来说一说整件事情:一、阿里云冤不冤这次发现的漏洞是基于阿帕奇Web服务器的log4j日志组件的,该组件被广泛应用于JAVA开发的各类程序中,因为其能帮助开发者分析系统运行情况以及状态。而这次发现的漏洞允许黑客通过该漏洞直接访问运行了log4j日志组件的服务器,相当于是把自己家门钥匙给了小偷。而在漏洞爆出了近半个月时间后工信部才接到别的安全企业发出的通知,相当于国内的服务器裸奔了近半月之久,所以作出这个处罚阿里云一点都不冤枉。二、阿里云潜在问题通过这件事情也暴露出阿里云潜在的问题,发现漏洞第一时间上报给了行业协会,但是并没有报告国家主管部门,不能只遵守行业协会的规定,而置国家法律法规不顾,这也体现了对法规条款学习的不到位。三、后续影响这件事对阿里云的影响不仅仅是经济上的,更多的是信誉上的,这件事后相信阿里云承接国企的项目难度会加大很多。你知道阿里云未及时上报漏洞受到了怎样的处罚吗?欢迎留言讨论。
应该对阿里云这样的事情做出一定的批评,同时也应该做出罚款,因为这样的事情很有可能会对很多的人们利益造成伤害。
如果有告知的义务而没有告知,那是该罚。如果没有义务呢?总有个标准吧?普通民众不明就理,希望媒体公开,公平,公正的报道相关消息。而不是空穴来风。这是做新闻的最起码底线。
工信部暂停了阿里云公司和相关合作单位六个月,责令整改,根据云公司的整改情况,酌情恢复合作单位。
暂停了阿里云和工信部门的工作6个月,等待阿里公司整顿完毕以后,在恢复合作。
阿里云因未及时上报漏洞被处罚了,具体是被如何处罚的?
[ 标签:]

  • 全部评论(0
说点什么吧

相关文章