阿里云未及时上报漏洞被工信部处罚（被工信部通报重罚）

工业和信息化部明确规定，不清楚阿里云忽视或忽视，当发现重要漏洞未按明确规定向上级部门报告时，立即向外国开源机构基金会报告，没有，半个月后，行业组织发布安全报告，我们的主管机构明白，漏洞困境，全国裸奔2周。

最后，阿里云被主管部门处罚，暂停网络安全威胁信息共享平台合作单位6个月。

今天跟大家聊聊，这到底是怎么回事？它的特点是什么？对阿里云会有什么危害？

如果是从事网络安全相关工作，一定要了解不久前爆发的一个重大漏洞，阿帕奇（Apache）Log4j2部件安全漏洞，由于其适用范围过大，使用漏洞的成本也非常严重。

然而，真正的问题是，这个漏洞是由阿里云的一名安全工程师发现的。但阿里云直接向行业组织报告了漏洞，应该报告吗？

然而，更不用说你没有按照程序报告，你至少必须与主管机构沟通，对吧？作为共享平台的合作单位，也应及时向国家网络安全威胁和漏洞信息共享平台报告，更不用说主管机构明确规定今年9月1日才实施的新政策了。

否则，你为什么要建立这个国家平台呢？作为一个合作单位，阿里云最初被发现，但没有说，这相当于朋友的背，因为除了阿里云之外的其他人都知道漏洞。换句话说，在漏洞被修复之前，它很可能被其他人使用，而且它仍然是一个外国机构。作为共享平台合作单位的朋友裸奔了两周，你至少会告诉他们。

作为中国网络安全威胁信息共享平台的合作单位，阿里巴巴云是中国重量级和顶级云公司之一。我不认为这是不可能的，但它立即被忽视了。

它的性质是什么？小说阿里云员工疏忽疏忽。更重要的是，公司不重视上级部门的规定，但也是阿里巴巴云的内部管理问题，而不是技术问题。相反，研发团队可以首先发现严重的漏洞，只是证实了强大的研发能力。

在上级主管部门的处罚内容中，点名批评直接到海外CVE报送的Log4j2漏洞的安全专家，却没有对安全研发人员进行任何提名和指责，就能看出问题在哪里。

阿里巴巴云的漏洞管理流程和报告系统存在问题。我不知道其内部的具体规定。然而，像阿里巴巴云这样的大公司应该有相应的评价体系，也许他们发现的漏洞会得到一些机构的确认和鼓励。

这叫什么？不注意，不当真。

对阿里巴巴来说，惩罚仍然会产生一定的影响。首先是客户或潜在客户的外流。目前，云行业的竞争已经非常激烈。虽然阿里巴巴云排名第一，但华为云、腾讯云等云公司仍在迅速改善。此外，目前正处于逐步加强信息安全的敏感时期，国有云逐渐成立。

阿里云受到上级部门的惩罚和点名批评。肯定会损害客户的采购决策。

然而，由于漏洞的巨大影响，阿里云也被告知为典型的。新政策一实施，就撞到了枪口，只是纠正了中国网络安全的相关概念和过程。