阿裏雲被工信部暫停合作,對阿裏會有多大的影響?

阿裏雲被工信部暫停合作,對阿裏會有多大的影響?214 2022-01-01 08:43:33

你好,這次log4j的漏洞影響相當大,是全行業受影響,而不僅僅是阿裏雲。你猜阿裏雲最大的訂單是來自企業還是國家?在國內市場,能力不是第一決定因素,工信部不合作了,那麽肯定是多少有影響的。不過話說,騰訊雲都沒發現有這個bug,利好華爲雲吧。

  • 先說結論:阿裏該罰。但網上很多人對此上綱上線,無限拔高,動不動就往賣國上扯,實在是不吐不快,因爲這樣下去,中國遲早人人都能被它們打成賣國分子。正是應該團結一切可以團結的力量的時候,卻有人在拼命煽動搞內鬥,還將人往死裏鬥,他自以爲是在愛國,但幹的事卻是敵對勢力努力想做成的事。

一、先來說說:阿裏雲到底出錯在哪裏呢?

發生這種事情,完全是阿裏雲安全部門的工作流程出現了錯誤而已。我估計可能是以下兩種原因:

  • 1、合規部門沒有及時跟進到最新政策。但可能性較少,因爲合規部門的工作之一就是研究政策。
  • 2、最可能的是合規部門可能了解到了新政策,但阿裏雲的合規部門沒有和工程部門做好知識共享,結果發現漏洞的人沒有即時告訴工信部這個漏洞。

有人好奇,這到底是什麽政策?其實是《網絡産品安全漏洞管理規定》,公布于今年7月,9月1日開始實施,還是挺新的政策。

  • 可能有人會說,你說的這些,是不是爲阿裏洗地?非也。我自己曾做風控的,主要業務就是做合規技術的(RegTech),用技術推進合規。我能理解作爲工程人員,是很難了解所有政策的,連我這種專門做RegTech的人都很難了解所有政策,更別說專門做雲技術的技術人員了,所以很多公司會有專門的合規部門。

有人說,這個漏洞,最先發現漏洞的,是阿裏雲安全團隊,從技術角度上來說,阿裏雲本來應該是立功了,幫助整個行業修複了一個嚴重的安全漏洞,爲啥阿裏雲還被罰了,這樣的話,是不是以後大家發現漏洞都不敢報了?沒必要過度想象。

事實上,在《網絡産品安全漏洞管理規定》的第七條(1)中說到:對屬于其上遊産品或者組件存在的安全漏洞,應當立即通知相關産品提供者。所以,阿裏雲根據開源項目慣例,發現漏洞,立即報給Apache,並沒任何不妥,完全符合規定。

但是,這裏要說但是了,緊接著的第七條(2)指出——應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平台報送相關漏洞信息。這點阿裏雲並沒有做到,工信部是多天以後才從公開新聞了解到這個漏洞。

  • 作爲監管部門,工信部當然有必要及時了解到最新的漏洞信息,況且,工信部畢竟是阿裏雲的合作夥伴。

所以,暫停6個月的合作這懲罰也算合理,不算輕但也不算嚴重,希望阿裏雲吃一塹長一智,之後在漏洞上報流程方面更完善點吧,確保漏洞信息通知到所有利益相關方和監管部門。順便一說,Log4j2這個問題,最近很多相關客戶都遇到了,在漏洞被曝出來後,他們首先通知到各自的合規部門和監管部門,然後通知到公司,基本上所有利益相關的人員都通知到了。

  • 總結下,整個過程是這樣的:阿裏雲安全團隊按照國際流程,在發現漏洞時向Apache官方報告了漏洞,但忘記了(或者不知道)也要向工信部報告。畢竟有的時候,處理安全問題,如果流程不一樣,産生的結果也不一樣。如果你是職場人士,你會對“流程”一詞更有體會。

二、再來談談:這次暫停合作,對阿裏會有多大的影響呢?

原本我覺得阿裏雲這個基本盤沒事,只是電商被各種襲擾,沒想到,雲服務也被錘了。現在一總結,這馬雲給阿裏留下的根本,是全方位被錘了。

電商:原本就被拼多多和京東全面絞殺,字節也在直播賣貨方面躍躍欲試,薇娅又被錘;

支付寶:目前沒什麽消息,先放著吧,之前螞蟻上市就被錘過;

雲服務:我覺得最不可能出事的地方,居然發生這麽大的事,阿裏是多麽狂?

  • 我說得不夠清晰,原本持有阿裏的股票,還想慢慢加倉,因爲我之前覺得雲服務和金融相關服務不會再出問題,但是我昨天看到這個通告,直接就清了一半,很悲觀;沒回本,不甘心全部清空。

這事弄的,讓我覺得阿裏內部可能真的業務流程有問題。該上報國家的事情,他沒有上報國家,我覺得這麽大的企業,不應該犯這種錯誤,在這種敏感時期,還是犯了這種錯誤,我真的是挺無語的,它內部工作流程得多麽混亂?

  • 我傾向于認爲它不是故意不上報,就是業務流程有問題,從來沒把法律法規相關這些事情太當回事,導致這次事情的發生。個人感覺騰訊不會犯這種錯誤,感覺上騰訊在法律法規方面還是比較重視。

最後,反之我沒虧多少錢,我是十一月份開始建倉,剛開始,它就全面被錘,真是煩,但是仍然是虧的,不甘心。

最後的話:科學家有他的祖國,但科學無國界,網絡安全始終是我們要提防的國家安全問題。

這次事件反映出阿裏雲安全團隊至少在制度建設上存在失職,應該反思,其他團隊也應該引以爲戒,加強相關制度的培訓。向Apache彙報是因爲一直以來大家都這麽幹,出問題了反饋給社區,這個老的制度運行良好。

而新的向工信部網絡安全威脅信息共享平台彙報,是一個新制度,可能相關安全團隊從來就沒被培訓過相關彙報流程。所以安全團隊按照老的制度反饋給社區後,壓根就沒想起來要給網絡安全威脅信息共享平台彙報。大概率沒有那麽多陰謀論,就是疏忽大意。

  • 只是這次Log4j2影響巨大,所以被拉出來做了個典型,這種問題是,早發現,早解決對阿裏雲和其他網絡安全威脅信息共享平台成員都是有益的。

下一篇:現在骁龍870的手機中,哪款綜合體驗是最好的?
上一篇:二手華爲nova7值得入手嗎
返回頂部小火箭