阿里云11月发现史上尽可能最严重的漏洞，但却没有国内主管部门

11月，阿里云发现了（）历史上最严重的漏洞，但国内主管部门工信部没有报告，而是先向美国软件基金报告了该问题。 最终，工信部从一家网络安全专业机构那里得到消息。

阿里云向美国开源组织汇报完了，却把工信部丢在了后面。 这是严重的不合作行为，被工信部暂停6个月。

根据阿里云与工信部的合作要求：发现漏洞后2日内向工信部报告。 中止合作是因为没有及时上报，规定写的很清楚，2天内上报。 不是因为发现了错误。 有空去报，没时间去国家报？

发现漏洞本应是好事，但为什么阿里云会被罚款？ 事实上，这是业内每个人都在做的事情。 想一想，为什么不是华为，不是360，腾讯发现了这样的漏洞，而是阿里云，至少证明了阿里云的技术是可以的。

据观察者网报道，2021年11月24日，阿里云团队发现知名Web服务器软件下的开源日志组件Log4j存在严重漏洞，网络攻击者可以通过该漏洞无密码访问网络服务器。 有网络安全专家认为，该漏洞具有潜在危害，可能是“计算机历史上最大的漏洞”。

由于Java日志框架中存在的Log4j被广泛应用于各种应用程序和网络服务中，几乎每个网络安全系统都会使用一些日志框架进行记录。 Log4j一旦出现漏洞，影响范围将是世界级的。 迄今为止，包括苹果、三星、Steam、亚马逊、推特在内的巨头均已被攻击或存在被攻击风险。

阿里云团队提交漏洞后，软件基金会将该漏洞的严重程度列为最高10级。网络安全公司相关负责人直言，这是“目前最大、最危急的单体漏洞”。过去十年。”

阿里的案例是典型的没有政治的技术思维。 其实技术人员的思路没有问题。 他们会先反馈给开发商，等待开发商修复。 但是阿里的人忘了他是中国公司，他应该遵守中国的法律法规，就像为什么美国公司不赚钱卖芯片给你们中国人一样？ 他们违反了工信部的规定，应该受到惩罚。 更何况，在中美关系如此紧张的时候。

技术无国界阿里云ss被警告会怎么样，安全有国界。 无异于发现敌人而不报告，偷偷撤退。 至于有人骂工信部是猪头，找不到安全漏洞，完全是糊涂。

国内PaaS公司灵雀云负责人费志明向财新解释，Log4j组件的目的是为了更有效地管理和记录程序运行时产生的各种日志（日志）。 并分析日志，快速定位和处理问题。 这也意味着，作为Java语言中重量级的日志组件，Log4j已经渗透到系统的各个部分。

该漏洞允许攻击者利用该漏洞，通过该漏洞实现远程代码执行，直接绕过所有安全监控，让恶意行为者完成植入恶意软件等非法活动。 “虽然目前还没有形成数量庞大的攻击和恶意行为阿里云ss被警告会怎么样，但开门见山总是让人担心，尤其是终端客户还没有意识到这一点。” 费志明表示，业界普遍质疑阿里云的举报操作，让中国政府和企业处于被动