成人小说亚洲一区二区三区,亚洲国产精品一区二区三区,国产精品成人精品久久久,久久综合一区二区三区,精品无码av一区二区,国产一级a毛一级a看免费视频,欧洲uv免费在线区一二区,亚洲国产欧美中日韩成人综合视频,国产熟女一区二区三区五月婷小说,亚洲一区波多野结衣在线

首頁 500強 活動 榜單 商業(yè) 科技 領(lǐng)導(dǎo)力 視頻 專題 品牌中心
雜志訂閱

阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位

2021-12-22 16:30
文本設(shè)置
小號
默認
大號
Plus(0條)
近期,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報稱,阿里云計算有限公司是工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位。近日,阿里云公司發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究,現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后,根據(jù)阿里云公司整改情況,研究恢復(fù)其上述合作單位。 | 相關(guān)閱讀(21財經(jīng))
55
江瀚視野

江瀚視野

盤古智庫高級研究員,金融學(xué)碩導(dǎo)

漏洞砸中阿里云:一次行業(yè)警示

近日,有媒體報道,阿里云發(fā)現(xiàn)阿帕奇Log4j2組件有安全漏洞,但未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。因此,暫停阿里云作為上述合作單位 6 個月。

原本一個技術(shù)圈子的事情因此成為社會熱議話題。一時間網(wǎng)友分化為了兩個圈子——
非技術(shù)圈的人說:感覺阿里云只報給阿帕奇這個技術(shù)社區(qū),不上報組織,是沒把國家安全放心上。

技術(shù)圈層說:當然是誰寫的bug報給誰,阿帕奇的安全漏洞,報給阿帕奇是應(yīng)該的,不能上綱上線。

23日晚間,阿里云就log4j2漏洞發(fā)布了說明,誠懇認錯,表示要強化漏洞報告管理、提升合規(guī)意識,積極協(xié)同各方共同做好網(wǎng)絡(luò)安全防范工作。

回顧這個非常技術(shù)的話題,有諸多事實需要厘清。

首先,阿帕奇開源社區(qū)是什么?Log4j2組件是什么?

阿帕奇是國際上比較有影響力的一個開源社區(qū)。官網(wǎng)上顯示,華為、騰訊、阿里等中國公司是這個開源社區(qū)的主要貢獻者,另外也包括谷歌、微軟等美國企業(yè)。全球的軟件工程師,在這里共建一些基礎(chǔ)的軟件部件,相互迭代、提高公共效率,是軟件產(chǎn)業(yè)的一個特有現(xiàn)象。

本次發(fā)現(xiàn)漏洞的Log4j2 就是開源社區(qū)阿帕奇旗下的開源日志組件,很多企業(yè)都會會用這個組件來開發(fā)自己的系統(tǒng)。在阿里云的工程師發(fā)現(xiàn)這個組件有問題的時候,就郵件詢問了阿帕奇,請社區(qū)確認這是否是一個漏洞、評估影響范圍。

而后阿帕奇確認這是一個漏洞,并通知開發(fā)者們修補這個漏洞。于是,出現(xiàn)了天涯共此時,一起改漏洞的局面。

但阿里云遺漏了不久前上線的一個官方上報平臺,僅僅按業(yè)界的慣例向以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。

其次,工信部暫停阿里云6個月合作單位資格,意味著什么?

據(jù)工信微報——「12月9日,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)開展漏洞風(fēng)險分析,召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機構(gòu)等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業(yè)單位進行風(fēng)險預(yù)警?!?br />
媒體報道的暫停6個月合作單位資格,并未出現(xiàn)在公開渠道。據(jù)業(yè)內(nèi)人士分析,這并不是一個嚴格意義上的“處罰”,否則不可能不公開通報。其次,網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺是一個收集、通報網(wǎng)絡(luò)安全漏洞的平臺,暫停這個平臺的合作資質(zhì)并不對業(yè)務(wù)造成影響。

但此次事件,從側(cè)面體現(xiàn)了計算機行業(yè)中普遍存在的意識疏漏。在國內(nèi)計算機行業(yè)幾十年的發(fā)展過程中,大量從業(yè)人員、組織養(yǎng)成了與開源社區(qū)合作的工作習(xí)慣,但對更高層面的安全意識、合規(guī)意識,在思想上、制度上都有所不足。阿里云的漏報行為,也是這一意識疏漏的一次具體體現(xiàn)。

整體而言,此次事件對行業(yè)的影響是正面的,這是一次警示、也是一次示范。阿里云是行業(yè)領(lǐng)先的IT企業(yè),這也是能夠率先發(fā)現(xiàn)全球重大安全漏洞的原因,而此次事件的發(fā)生,無疑將會增強計算機行業(yè)的安全合規(guī)意識,可以想見,無論是阿里云、還是其他諸多科技企業(yè),都將在企業(yè)和組織內(nèi)部增強合規(guī)培訓(xùn)和流程規(guī)范。

52
華神

華神

軟件工程師

信息共享平臺的意義本來就是你知道有漏洞了上報,平臺分享給其他成員,大家都能及時得到通知。這次問題是,一方面在那收別人的信息,自己發(fā)現(xiàn)的反而沒報告,這就出問題了,暫停自然就是為這個事情的警告。
安全漏洞這種事情為什么需要有信息共享平臺,因為安全信息的送達是分秒必爭的,如果安全漏洞在被發(fā)現(xiàn)之后先被攻擊者知曉,就會造成不可挽回的損失,所以有必要有專門的通知渠道,保證在漏洞被廣泛揭曉之前,先給關(guān)鍵服務(wù)提供商修復(fù)的機會,國家主導(dǎo)的平臺就是為了確保有個盡量可信的送達機制能讓這樣的信息在盡可能保密的情況下盡快送達各個合作方。
阿里云因為自身疏忽沒好好配合,那不就是沒有盡到合作方義務(wù)嗎?安全漏洞研究是必須要遵循工作流程規(guī)范的,如果工作沒做好,反而會讓攻擊者有可乘之機。

23
朱墨竹

朱墨竹

因為log4j2作為java生態(tài)軟件基礎(chǔ)組件,所以這次漏洞的影響是核彈級的,堪稱web漏洞屆的永恒之藍。
首先,我們先來梳理一下log4j2漏洞從發(fā)現(xiàn)到爆發(fā)的時間線:
2021年11月24日: 阿里云安全團隊向Apache 官方提交ApacheLog4j2遠程代碼執(zhí)行漏洞(CVE-2021-44228)
2021年12月8日: Apache Log4j2官方發(fā)布安全更新log4j2-2.15.0-rc1,
2021年12月9日: 天融信阿爾法實驗室晚間監(jiān)測到poc大量傳播并被利用攻擊
2021年12月10日: 天融信阿爾法實驗室于10日凌晨發(fā)布Apache Log4j2 遠程代碼執(zhí)行漏洞預(yù)警,并于當日發(fā)布Apache Log4j2 漏洞處置方案
2021年12月10日: 同一天內(nèi),網(wǎng)絡(luò)傳出log4j2-2.15.0-rc1安全更新被繞過,天融信阿爾法實驗室第一時間進行驗證,發(fā)現(xiàn)繞過存在,并將處置方案內(nèi)的升級方案修改為log4j2-2.15.0-rc2
2021年12月15日:天融信阿爾法實驗室對該漏洞進行了深入分析并更新修復(fù)建議。

從時間線來看,阿里云工程師是遵從國際通行的安全漏洞上報流程第一時間上報的,并且取得了CVE的ID編號。
這里需要簡單介紹一下CVE。CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一個字典表,為廣泛認同的信息安全漏洞或者已經(jīng)暴露出來的弱點給出一個公共的名稱。而CVE背后是一套國際上運行了二十多年的成熟而有效的標準管理組織和機制。所以安全漏洞從發(fā)現(xiàn),到提交,審核,評估,命名,到公開,正式發(fā)布,再評估,撤銷等都有完整的運行流程。
至于公開漏洞會不會被攻擊者利用,安全專家們也是有過充分討論的。我們直接聽結(jié)論,就是公布的益處遠大于弊端。其實這可以理解,因為世界上大部分軟件對于外人來說都是個黑盒子,只有開發(fā)者自己最清楚項目里用了哪些技術(shù)和組件。只有把漏洞和解決方法公之于眾,開發(fā)者們才好展開自查。而且即便不公布,黑客們也未必就不知道,可能正在哪個角落運用這個漏洞探測哪些項目有可乘之機呢。

當然我相信作為國內(nèi)最權(quán)威的網(wǎng)絡(luò)安全共享平臺,他們不可能在Apache發(fā)布了漏洞之后還視若罔聞而貽誤了修補應(yīng)對。只是阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺的成員,有義務(wù)按平臺的規(guī)定上報工信部,去履行一個組織的規(guī)章流程。
所以從這個角度來看,受罰并不冤枉。只是我查了一下,我們工信部這個網(wǎng)絡(luò)安全威脅和漏洞信息平臺始建于今年八月份,成員還不足四十家企業(yè)。我覺得暫停阿里云的合作單位資格,從這個平臺組織的完善和發(fā)展來看,是不太有利的。

評論

撰寫或查看更多評論

請打開財富Plus APP

前往打開
熱讀文章
99久久精品免费看国产一区二区三区| 欧美日本一区二区欧美专区一区| 丁香花在线影院观看在线播放| 国产成a人片在线观看网站| 成为直播人的视频软件| 国语对白露脸XXXXXX,亚州av综合色区无码一区| 制服丝袜长腿无码专区第一页| 欧美国产激情一区二区三区| 亚洲日韩欧美一区二区三区| 中文av人妻av有码中文不卡| 好男人免费影院www神马 | 精品一区二区三区影院在线午夜| 日韩欧美一区二区三区在线播放| 国产香线蕉手机视频在线观看| 亚洲AV日韩AV无码偷拍| 亚洲成AV成人片在线观看天堂| 国产欧美一区二区精品每日更新| 亚洲人成网址在线播放狼友| 免费看男女又黄又爽又高潮 | 亚洲性夜色九九九久久久| 久久久精品人妻一区亚美研究所| 免费无码av片在线观看中文| 免费无码AV污污污在线观看| 国产精品香蕉自产拍在线观看| 亚洲综合色一区二区三区| 18禁无遮挡啪啪无码网站| 国产99黄色播放视频| 四虎永久在线精品免费一区二区| 国产韩国精品一区二区三区| 国产乱人伦精品一区二区在线观看| 色视频一区二区三区网网网网 | 迈开腿让我看一下小鸡蛋视频| 国产婷婷一区二区三区| 爱妺妺国产AV网站,乱精品一区字幕二区| 国产成人综合久久精品尤物| 色综合久久久久8天国| 最近最新高清中文字幕| 无码精品A∨在线观看十八禁软件| 999精品视频在这里国产| 免费精品无码AV片在线观看| 无码av不卡一区二区三区|