12月22日下午,据中国日报报道,工信部相关人士向其记者确认,因发现严重漏洞未及时报告,阿里云计算有限公司(阿里云)被暂停工信部网络安全威胁信息共享平台合作单位6个月。
对于“暂停”原因,工信部也做了相关通报:
阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
此外,有微博网友指出里面在这个漏洞发现和处理的过程中,阿里云有多重身份,它同时涉及了《网络产品安全漏洞管理规定》里的:网络运营者,从事漏洞发现、收集、披露等活动的组织或个人,网络产品安全漏洞收集平台。
在从事漏洞发现、收集、披露等活动的组织或个人身份下,阿里云首先发现了漏洞,是漏洞发现的组织。这个身份的义务是按规定规范流程来公开漏洞,且不能报送给除产品提供者 (这里是 Apache)的境外组织,阿里云遵守了作为漏洞发现组织的流程和义务。
作为网络运营者,阿里云提供的网络服务可能使用了Log4j2,从而出现安全漏洞。阿里云这个身份的义务是立即采取措施,及时对安全漏洞进行验证并完成修补。理论上讲,阿里云也较好地完成了这个身份的义务。
而根据《网络安全法》,网
