我的世界|阿里云发现安全漏洞，但没有及时上报工信部( 三 )_

文章插图
再聊回阿里云这次做得不对的地方。
阿里云的安全技术人员在11月就发现了这个漏洞，也确实很快就报告了给apache软件基金会。
这个操作没问题，毕竟Log4j是Apache旗下的开源项目。
但在发现漏洞后，阿里云居然没有尽快向工信部报告，在代码界，漏洞上报的及时性是很重要的。
然而，从阿里云上报漏洞到Apache，到工信部得知漏洞，这中间隔了足足有十几天。

文章插图
好家伙，这十几天都足够小雷在网上吃遍今年所有的瓜了。
如果黑客别有用心，利用这漏洞窃取资料造成巨大损失，这算不算是阿里云的锅？
目前阿里云也对这事儿作出看回应，表示是当时没有意识到漏洞的严重性，才导致最终未及时上报。

文章插图
不过怎么说，阿里云确实没遵守《网络产品安全漏洞管理规定》，被取消合作伙伴资格6个月的事实也板上钉钉。
希望在这次事件发生后，大厂们都能更加重视开源项目的安全性吧。
总不能只顾着白嫖，不帮开源项目的开发者分担下维护压力呀。