阿里云被暂停工信部网络安全威胁信息共享平台合作单位

漏洞砸中阿里云：一次行业警示

近日，有媒体报道，阿里云发现阿帕奇Log4j2组件有安全漏洞，但未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。因此，暂停阿里云作为上述合作单位 6 个月。

原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——
非技术圈的人说：感觉阿里云只报给阿帕奇这个技术社区，不上报组织，是没把国家安全放心上。

技术圈层说：当然是谁写的bug报给谁，阿帕奇的安全漏洞，报给阿帕奇是应该的，不能上纲上线。

23日晚间，阿里云就log4j2漏洞发布了说明，诚恳认错，表示要强化漏洞报告管理、提升合规意识，积极协同各方共同做好网络安全防范工作。

回顾这个非常技术的话题，有诸多事实需要厘清。

首先，阿帕奇开源社区是什么？Log4j2组件是什么？

阿帕奇是国际上比较有影响力的一个开源社区。官网上显示，华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者，另外也包括谷歌、微软等美国企业。全球的软件工程师，在这里共建一些基础的软件部件，相互迭代、提高公共效率，是软件产业的一个特有现象。

本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件，很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候，就邮件询问了阿帕奇，请社区确认这是否是一个漏洞、评估影响范围。

而后阿帕奇确认这是一个漏洞，并通知开发者们修补这个漏洞。于是，出现了天涯共此时，一起改漏洞的局面。

但阿里云遗漏了不久前上线的一个官方上报平台，仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。

其次，工信部暂停阿里云6个月合作单位资格，意味着什么？

据工信微报——「12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。」

媒体报道的暂停6个月合作单位资格，并未出现在公开渠道。据业内人士分析，这并不是一个严格意义上的“处罚”，否则不可能不公开通报。其次，网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台，暂停这个平台的合作资质并不对业务造成影响。

但此次事件，从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中，大量从业人员、组织养成了与开源社区合作的工作习惯，但对更高层面的安全意识、合规意识，在思想上、制度上都有所不足。阿里云的漏报行为，也是这一意识疏漏的一次具体体现。

整体而言，此次事件对行业的影响是正面的，这是一次警示、也是一次示范。阿里云是行业领先的IT企业，这也是能够率先发现全球重大安全漏洞的原因，而此次事件的发生，无疑将会增强计算机行业的安全合规意识，可以想见，无论是阿里云、还是其他诸多科技企业，都将在企业和组织内部增强合规培训和流程规范。

信息共享平台的意义本来就是你知道有漏洞了上报，平台分享给其他成员，大家都能及时得到通知。这次问题是，一方面在那收别人的信息，自己发现的反而没报告，这就出问题了，暂停自然就是为这个事情的警告。
安全漏洞这种事情为什么需要有信息共享平台，因为安全信息的送达是分秒必争的，如果安全漏洞在被发现之后先被攻击者知晓，就会造成不可挽回的损失，所以有必要有专门的通知渠道，保证在漏洞被广泛揭晓之前，先给关键服务提供商修复的机会，国家主导的平台就是为了确保有个尽量可信的送达机制能让这样的信息在尽可能保密的情况下尽快送达各个合作方。
阿里云因为自身疏忽没好好配合，那不就是没有尽到合作方义务吗？安全漏洞研究是必须要遵循工作流程规范的，如果工作没做好，反而会让攻击者有可乘之机。

因为log4j2作为java生态软件基础组件，所以这次漏洞的影响是核弹级的，堪称web漏洞届的永恒之蓝。
首先，我们先来梳理一下log4j2漏洞从发现到爆发的时间线：
2021年11月24日: 阿里云安全团队向Apache 官方提交ApacheLog4j2远程代码执行漏洞（CVE-2021-44228）
2021年12月8日: Apache Log4j2官方发布安全更新log4j2-2.15.0-rc1，
2021年12月9日: 天融信阿尔法实验室晚间监测到poc大量传播并被利用攻击
2021年12月10日: 天融信阿尔法实验室于10日凌晨发布Apache Log4j2 远程代码执行漏洞预警，并于当日发布Apache Log4j2 漏洞处置方案
2021年12月10日: 同一天内，网络传出log4j2-2.15.0-rc1安全更新被绕过，天融信阿尔法实验室第一时间进行验证，发现绕过存在，并将处置方案内的升级方案修改为log4j2-2.15.0-rc2
2021年12月15日：天融信阿尔法实验室对该漏洞进行了深入分析并更新修复建议。

从时间线来看，阿里云工程师是遵从国际通行的安全漏洞上报流程第一时间上报的，并且取得了CVE的ID编号。
这里需要简单介绍一下CVE。CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。而CVE背后是一套国际上运行了二十多年的成熟而有效的标准管理组织和机制。所以安全漏洞从发现，到提交，审核，评估，命名，到公开，正式发布，再评估，撤销等都有完整的运行流程。
至于公开漏洞会不会被攻击者利用，安全专家们也是有过充分讨论的。我们直接听结论，就是公布的益处远大于弊端。其实这可以理解，因为世界上大部分软件对于外人来说都是个黑盒子，只有开发者自己最清楚项目里用了哪些技术和组件。只有把漏洞和解决方法公之于众，开发者们才好展开自查。而且即便不公布，黑客们也未必就不知道，可能正在哪个角落运用这个漏洞探测哪些项目有可乘之机呢。

当然我相信作为国内最权威的网络安全共享平台，他们不可能在Apache发布了漏洞之后还视若罔闻而贻误了修补应对。只是阿里云作为工信部网络安全威胁信息共享平台的成员，有义务按平台的规定上报工信部，去履行一个组织的规章流程。
所以从这个角度来看，受罚并不冤枉。只是我查了一下，我们工信部这个网络安全威胁和漏洞信息平台始建于今年八月份，成员还不足四十家企业。我觉得暂停阿里云的合作单位资格，从这个平台组织的完善和发展来看，是不太有利的。