阿里巴巴|工信部通报批评阿里云！指其未有效支撑工信部工作阿里云|网络安全|云计算

文章图片

近期，工信部网络安全管理局通报称，阿里云计算有限公司（下称：阿里云）发现阿帕奇（Apache）Log4j2 组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位 6 个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。
11 月 24 日，阿里云发现这个可能是“计算机历史上最大的漏洞”后，率先向阿帕奇软件基金会披露了该漏洞，但并未及时向中国工信部通报相关信息。随后，奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警，而中国工信部是在收到网络安全专业机构报告后，才发现阿帕奇 Log4j2 组件存在严重安全漏洞。

根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》，网络产品提供者应当在 2 日内向工信部报送相关漏洞信息，而工信部 12 月 9 日发现上述漏洞，距阿里云首次发现已经过去 15 天。因此，可以看得出这次阿里云实在是有做得不合理的地方。

【阿里巴巴|工信部通报批评阿里云！指其未有效支撑工信部工作】值得一提的是，今年 9 月 1 日，为落实《网络产品安全漏洞管理规定》有关要求，工信部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。