阿里雲回應被工信部暫停合作單位資格

澎湃新聞記者 吳雨欣

阿里雲承認了先向開源社群彙報安全漏洞,未及時告知合作平臺。



12月23日,阿里雲釋出關於開源社群阿帕奇(Apache) log4j2漏洞情況的說明稱,

因在早期未意識到該漏洞的嚴重性,未及時共享漏洞資訊,將強化漏洞管理、提升合規意識,積極協同各方做好網路安全風險防範工作。

阿里雲在情況說明中表示,近日,阿里雲一名研發工程師發現Log4j2 元件的一個安全bug,遂按業界慣例以郵件方式向軟體開發方Apache開源社群報告這一問題請求幫助。Apache開源社群確認這是一個安全漏洞,並向全球釋出修復補丁。隨後,該漏洞被外界證實為一個全球性的重大漏洞。



此前一天,澎湃新聞記者從接近工信部人士處獲悉,因未及時報告嚴重安全隱患,阿里雲公司被暫停作為工信部網路安全威脅資訊共享平臺合作單位6個月。



事件導火索即為阿帕奇 log4j2 漏洞未及時上報。



阿里雲官網顯示,12月9日,阿里雲安全團隊釋出 Apache Log4j2 遠端程式碼執行漏洞(CVE-2021-44228) 安全通告。據多家外媒報道稱,該漏洞最早由阿里雲的網路安全專家發現,並在11月24日報告給阿帕奇軟體基金會,遠早於12月9日工業和資訊化部網路安全威脅和漏洞資訊共享平臺收到有關網路安全專業機構報告的時間節點。



根據我國《網路產品安全漏洞管理規定》,網路產品提供者應當在2日內向工業和資訊化部網路安全威脅和漏洞資訊共享平臺報送相關漏洞資訊。

期編輯 周玉華
推薦閱讀

閱讀原文


相關文章