阿里巴巴|美发布新规后才知道，阿里当初犯了大错软件|阿里云|安全漏洞|云计算

文章图片

文章图片

文章图片

文章图片

美国掌握庞大的网络信息安全防护体系，拥有严密的信息安全处理机制。当一些软件系统出现漏洞时，有能力处理和反馈，让客户们迅速反应，防止漏洞进一步扩大。

可是美国发布新规，当发现漏洞时必须先获得许可，才能向我们分享漏洞信息。此时才明白阿里当初犯下了大错，阿里旗下的阿里云曾发现一个严重漏洞，却没有第一时间向国内工信部汇报，而是将漏洞反馈给了国外平台。
现在美国不再轻易允许漏洞分享，这会导致什么后果？美国新规之下，国产系统是否能迎来机会？

美发布新规，禁止向我们分享安全漏洞软件产业的发展越发重要，很多关键的信息，应用都需要放在软件操作系统中。
美国是操作系统大国，软件产业的影响力不用多说，包括数据库、工业软件、开源系统项目产品等等都遍布世界。
我们客户同样使用来自美国的软件产品，一直以来都保持良好的合作状态。就像我们手机厂商深入参与Android系统的定制化开发，和谷歌一起优化安卓底层系统，升级定制化安卓版本。

一旦谷歌发现系统存在漏洞，也会向我们厂商公布。但是在将来，谷歌等美企厂商就无法顺利向我们公布漏洞情况了，怎么回事？
美国发布的一则新规显示，未经审批不能向我们分享安全漏洞。

可能外界不感受不到这则新规的影响力，只是不允许分享安全漏洞，会造成什么后果呢？
如果说我们企业没有大量使用美国的软件系统也就罢了，可是在普遍运用Windows、Android等美国操作系统的情况下，如果对方的系统出现漏洞，然后又没有通报给客户厂商们，这些漏洞若没有被我们厂商及时发现，就有可能一直存在。
进而造成难以预知的后果，轻者系统故障崩溃，重则信息泄露等等都是可能发生的。
国内这么多的互联网大厂使用了多少美国系统软件数不胜数，如果大量的漏洞没有得到信息分享，而国外又知道这些漏洞所在，要是想做些什么，谁能阻止。这对于全球软件系统生态发展没有好处。

阿里云犯下的大错美发现新规，才明白阿里犯下大错了，美国单方面禁止安全漏洞分享给我们，曾经的阿里却主动将安全漏洞汇报给国外平台。
去年12月23日，阿里云发布公告，表示一名工程师发现了log4j2存在安全漏洞，并向软件开发商阿帕奇开源社区报告。经过对方的确认，证实这项漏洞属于高危级别。
在阿里云发布这则公告之前，其实就已经发现了漏洞的存在，但是并没有及时向工信部共享漏洞情报。直到被工信部点名暂停合作半年，阿里云才向外界公布发现并处理漏洞的情况。

从阿里云发现漏洞向国外开源软件平台汇报信息，到被工信部暂停合作并发布公告回应，期间间隔一个月。
要不是工信部收到有关网络安全专业机构的报告分析，可能就会酿成重大网络安全事件。
在这件事情上，阿里云一共犯了两个错误。第一：没有及时向工信部公布漏洞信息，缺乏管理漏洞分享的防范意识。第二：阿里云未分清主次，将漏洞信息率先提供给国外，可能促使国外黑客进行大量网络攻击。