文｜林卉

可以說阿里云已經(jīng)成為了阿里巴巴集團(tuán)不可多得的內(nèi)生動(dòng)力。

工信部12月17日的一則通報(bào)引起了輿論廣泛關(guān)注。

工信部網(wǎng)絡(luò)安全管理局在這則通報(bào)中稱，阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇（Apache）Log4j2組件嚴(yán)重安全漏洞隱患后，未及時(shí)向電信主管部門報(bào)告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，現(xiàn)暫停阿里云公司作為網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

引發(fā)軒然大波的這個(gè)網(wǎng)絡(luò)安全漏洞“非常大”，被曝光后，業(yè)內(nèi)稱其為“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”。

這個(gè)漏洞存在于Log4j2組件，這個(gè)組件的應(yīng)用非常廣泛，如果失去它的支撐，所有現(xiàn)代數(shù)字基礎(chǔ)設(shè)施都面臨倒塌的風(fēng)險(xiǎn)。而由于阿里云未及時(shí)向中國主管部門報(bào)告相關(guān)漏洞，直接造成國內(nèi)相關(guān)機(jī)構(gòu)處于被動(dòng)地位。

根據(jù)目前披露的信息，阿里云11月24日就發(fā)現(xiàn)了這個(gè)漏洞，漏洞名為Log4Shell，并立即向總部位于美國的阿帕奇軟件基金會(huì)報(bào)告。

而直到12月9日，中國工信部才收到了有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)——而不是來自阿里云——的報(bào)告，發(fā)現(xiàn)阿帕奇Log4j2組件存在嚴(yán)重安全漏洞，立即召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，并向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

而按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第七條要求，合作企業(yè)發(fā)現(xiàn)此類漏洞后，應(yīng)在2天內(nèi)向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送信息。

也就是說，中國的阿里云，發(fā)現(xiàn)重大安全漏洞后，未向原本對(duì)之負(fù)有及時(shí)告知義務(wù)的中國工信部報(bào)告，而是向美國有關(guān)方面進(jìn)行報(bào)告，繼而這條消息在全球開始擴(kuò)散，被某家網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)獲知并向工信部報(bào)告。

需要說明的是，阿里云向阿帕奇基金會(huì)報(bào)告漏洞沒有問題，問題在于沒有首先向工信部報(bào)告此事。且從阿里云發(fā)現(xiàn)這條漏洞到工信部被動(dòng)獲知并向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警，中間已經(jīng)過去了整整15天之久！

網(wǎng)友：阿里巴巴的國家安全觀念何其薄弱

在某新聞網(wǎng)站，這條新聞的熱評(píng)第一是：“從阿里的這個(gè)舉動(dòng)就能看出，阿里內(nèi)部的管理存在重大的偏差。企業(yè)雖在中國，員工雖是中國人，但這些人的國家安全觀念竟然如此薄弱，這樣的阿里如何能讓國人放心？它們自身已經(jīng)是中國國家安全的潛在威脅了�！�

說阿里巴巴是“中國國家安全的潛在威脅”也許只算是網(wǎng)友的一家之言，然而“國家安全意識(shí)薄弱”確實(shí)是阿里云甚至阿里巴巴集團(tuán)難以辯駁的事實(shí)，否則，何以解釋阿里云將重大安全漏洞先報(bào)美國，不報(bào)告給安全部這件事呢？

國家安全無小事，而網(wǎng)絡(luò)安全在當(dāng)今世界的重要性不言而喻，根據(jù)目前網(wǎng)上眾多相關(guān)技術(shù)人員的解讀，Log4j2組件的應(yīng)用極其廣泛，而本次漏洞的利用條件極低，且?guī)缀鯖]有技術(shù)門檻，目前影響已經(jīng)迅速傳播到了各個(gè)行業(yè)領(lǐng)域，而這個(gè)漏洞的功能就是，讓黑客無需密碼直接訪問網(wǎng)絡(luò)服務(wù)器。

而在漏洞被阿里云發(fā)現(xiàn)并報(bào)告給美國阿帕奇基金會(huì)，到工信部提出預(yù)警的這半個(gè)月時(shí)間空檔期內(nèi)，漏洞到底對(duì)我國的網(wǎng)絡(luò)安全乃至國家安全造成了多大損失目前雖難以衡量，但可以肯定的是，該漏洞確實(shí)可以造成相關(guān)的重大損失。

而如果阿里云及時(shí)按規(guī)定向工信部報(bào)告，就可以最大限度地避免可能的損失。

根據(jù)IDC的調(diào)研，今年一季度，中國公有云市場規(guī)模達(dá)46．32億美元，阿里云以40％的市場份額排名第一，第二到第五名分別是騰訊云、華為云、中國電信天翼云、AWS，但份額都和阿里云相差甚遠(yuǎn)。

且阿里云去年第四季度首次實(shí)現(xiàn)了盈利，并且營收達(dá)200億元，已占阿里巴巴集團(tuán)總營收10％，增速也達(dá)到了33％，可以說阿里云已經(jīng)成為了阿里巴巴集團(tuán)不可多得的內(nèi)生動(dòng)力。

“技術(shù)有沒有國界我不知道，阿里云的技術(shù)在業(yè)界也確實(shí)是一流的，但不管技術(shù)人員還是企業(yè)，一定是有國界的，何況阿里云的服務(wù)器和客戶都在國內(nèi)，祖國才是阿里云最大的衣食父母�！庇芯W(wǎng)友如此評(píng)論稱。