阿里又被重罚，这回做错了什么？

公众号：大树乡长

昨天，阿里云因为未依法及时向工信部报告发现的安全漏洞信息，被工信部决定暂停6个月阿里云的工信部网络安全威胁信息共享平台合作单位。

随即，阿里美股暴跌4.21%，预计接下来还将继续下跌。

就在今天，阿里云发布说明，表示将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险规范工作。

事情发生后，已经有很多人写了些文章，小镇也看到朋友转发的，具体不点名了，多数还是老一套，就喜欢用流量思维动辄把一件事上升到危害国家安全、中美对抗、中国网络安全裸奔等等。

首先，阿里云确实做错了，但不要过度夸张，更不要急着喊打喊杀。

云计算对人类发展非常重要。相比传统的分散式，云计算大大降低了成本、扩展性极强，由于设备在云端，大大提高了整个信息系统的可靠性和稳定性，避免因为服务器发生故障导致的损失，而且可以不断保持更新升级，大大增加了工作的流动性。

因此，云计算带来的种种变化是革命性的，也因此成为大国之争的关键领域之一，当然说白了还是中美两国。

在云计算领域，世界前五大云计算厂商，美国3个中国2个，只不过美国占据第一、第二的实力近乎压倒性的，尤其是第一的亚马逊，2020年的时候全球市场份额超过40%，第二的微软市场占比也达到了19.7%，然后就是阿里云，全球占比9.5%，华为云位居第五，全球占比4.2%，整体同第四的谷歌云接斗州昌近。

从整体规模上，2020年美国3大厂商全球市场迹配占比高达66.6%，中国两大厂商是13.7%，其他一切企业加起来占19.7%。

力量对比很明显，也正说明数字经济时代，中美已经成为了唯二的角逐者，在其他各领域也都类似。

站在国家的角度，阿里云和华为云都是中国的企业。纵然它们有些这样那样的缺点，可只要不是跟某些企业那样无可救药、不思进取地沉迷于赚快钱，肯定还是要支持的，毕竟这是自家的高 科技 竞争力。

当然，错了还是要敲打下、教训下，但这就是小惩大戒。

小惩大戒的前提确实是没造成多大危害，这就要回到这件事本身。

第二：从技术角度，阿里云程序员的做法没什么问题。

必须强调一件事，阿帕奇基金会绝不是某些自媒体渲染的是一个多么“邪恶”的外国势力，实际上这就是一个管理开源软件项目的非营利组织，这次出问题的log4j项目是阿帕奇基金会下一个开源项目。

在程序员的世界里，开放始终是互联网世界的底色，全人类在虚拟世界面临的许多共同问题，需要空扒凝聚所有程序员的力量共同解决，于是就有了各种开源项目。

各开源项目的程序员来自全世界，阿帕奇基金会只是作为开源项目的管理方，并不参与具体的代码开发。既然项目是开源的，源代码向全世界公开，程序员又来自全世界，所以从根本上就不存在美国政府通过种种手段胁迫阿帕奇基金会的情况，更不可能去要求这家基金会或者开源项目隐藏漏洞，从而让美国人任意妄为。

道理很简单。

开源的基本就是源代码向全世界开放，任何人都可以通过阅读源代码进行 *** 作或者开发，换言之，只要一个水平过关的程序员，通过认真阅读源代码，就完全可以发现这个号称核d级别的log4j漏洞。

log4j作为一个开源的日志组件，本来就是免费的，按照开源协议，发现漏洞后本就是需要报告到作为开源项目管理方的阿帕奇基金会，在此之前也要求不能泄露给任何第三方，避免漏洞被利用。

这也是为什么我们国家要求发现之后2日内报告，而没有要求必须第一时间优先报告，也有这方面的考虑。

而上报的漏洞，也已经同步更新在开源社区，按照常规，各国、大企业还有很多程序员都会紧跟技术发展，登录这类开源社区进行查看、学习是日常习惯，正常来说，一般在漏洞上报后一两天，就能够发现这件事，并且开始处理。

分散在各公司的程序员们并不是只有当接收到工信部要求后才开始填补漏洞，他们的工作本身就要求迅速反应。

当然这里面有一个疏漏点，就是可能有的机构需要等工信部这类官方下令才会进行处理，又或者有的机构的程序员缺少主动工作的动力，一些领导者也可能不懂甚至漠视风险。

但是仅仅从程序员本身，优先向开源项目管理方报告没什么错，换成别的国家、别的公司，也都大致如此处理。

只不过这次有三个非常不同的点：

第一：发现者是阿里云，是一个大平台，而且正处于加大监管的大环境下；

第二：发现的log4j漏洞确实太离谱；

第三：上报15天后，阿里云仍然没有主动上报，国内竟然没有人发现并且补位上报，以至于等第四方国家吵起来才知道，结果这时候发现，竟然是中国人第一个发现。

种种原因叠加，也就有了工信部对阿里云的惩罚。

第三：阿里云错在内部管理和沟通

在互联网大公司，由于组织庞大，内部沟通常常出现问题，内耗极为严重，有的大平台，内部机构复杂到内部人都搞不明白，更别说协同了。

各部门也存在诸多不同或者说优劣势。

而负责对接政府的政府事务或者公共事务部门，基本上技术肯定是不懂的，多数人对政策也了解不怎么样，别看很多本来就是公务员，有的在中央部委干到处级，但认知水平其实也就那样。

这些人去了企业，往往就是通过自己在体制内呆久了、认识些人，在公司和政府之间来回要挟，有过就躲、有功就抢，拿着政府要求逼迫业务和技术部门，拿着平台资源去找政府等等；还有的在公司里成长起来的，连对体制的感觉也比较缺乏。

当然一般情况下，经常做政府事务工作的，还是有一定敏锐性，如果接到技术部门的通报，多半还是会及时上报，但假如没有形成一套完整、动态调整的机制呢。

比如：及时跟进解读政策变化，将政策变化与公司内部相关部门同步，对应调整信息同步流程和内容等等，这样的机制基本是欠缺的。

这里面有组织太大、政策跟进不及时、内部跨部门沟通困难甚至还有些个人的问题等等。

说这些，是尽可能深入的剖析下这么一个离谱的错误是怎么发生的，并非很多自媒体渲染的，阿里“卖国”等等。这其实就是种种机缘巧合之下叠加大组织病导致的。当然，其中也存在意识不足的问题。

说这些不是为了给阿里云脱责，仅仅是提醒更多的企业好好想想如何解决。

有的公司想出了不是办法的办法，比如某大平台要求所有员工，不分职责，对于安全监管问题人人有责、人人补位，虽然导致工作量大增，但起码也是个应急的办法，所以这家公司就明显少出现很多问题，股价也稳得多。

对于阿里，当然是要敲打的，一家如此大的平台，享受了中国巨大的发展红利和政策优待，就理应担负起与能力对应的责任，无论什么理由，责任没有尽到就是问题，就要罚。

就算是技术人员，遇到问题后也肯定上报了技术主管，技术主管有没有上报?

我国也要求上了规模的公司要成立信息安全机构，由公司高层直接负责，这些问题理应上报到负责信息安全的高层，这里面出现了什么问题？

当然，阿里也付出了代价，整个阿里集团核心业务实际就是三驾马车：电商、金融和阿里云为首的 科技 产业。

金融不说了，电商今年受到严重冲击，头部主播被严查还将面临一系列的税收问题，本来今年阿里股价已经跌掉了三分之二，剩下的三分之一就是靠着阿里云这样的支柱撑着。

现在被工信部暂停6个月的合作伙伴资格，必然会影响到国内很多机构同阿里云的合作，业绩受挫是必然的了。

所以就出现了昨晚阿里美股暴跌，损失不可谓不惨重。

最后，还是要说一句：

阿里确实有错，但错不致死，毕竟还是中国自家的高 科技 竞争力，罚就罚了，没必要上纲上线，更不能干出来亲者痛、仇者快的事，如果中国云计算两大支柱之一受重创，占便宜的只有美国。

小惩大戒，以观后效就好了。

阿里作为一家扎根中国的企业，不会真的不明白应该怎么做，相信一定会积极整改。但是也得提醒很多企业，千万不要轻视组织内部的沟通问题，安全更是红线，否则阿里云就是前车之鉴。

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，目前最新版本是6.0.16。

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些培改公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5 支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

Tomcat 很受广大程序员的喜欢，因为它运行时占用的系统资源小，扩展性好，支持负载平衡与邮件服务等开发应用系统常用的功能；而且它还在不断的改进和完善中，任何一个感兴趣的程序员都可以更改它或在其中加入新的功能。

Tomcat 是一个小型的轻量级应用服务器笑昌，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。对于一个初学者来说，可以这样认为，当在一台机器上配置好Apache 服务器，可利用它响应对HTML 页面的访问请求。实际上Tomcat 部分是Apache 服务器的扩展，但它是独立运行的，所以当你运行tomcat 时，它实际上作为一个与Apache 独立的进程单独运行的。

这里的诀窍是，当配置正确时，Apache 为HTML页面服务，而Tomcat 实际上运行JSP 页面和Servlet。另外，Tomcat和IIS、Apache等Web服务器一样，具有处理HTML页面的功能，另外它还是一个Servlet和JSP容器，独立的Servlet容器是Tomcat的默认模式。不过，Tomcat处理静态HTML的能力不如Apache服务器。

Apache是世界使用排名第一的Web服务器。它可以运行在几乎所有广泛使用的计算机平台上。

Apache源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一。Apache取自“a patchy server”的读音，意思是充满补丁的服务器，因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。

本来它只用于小型或试验Internet网络，后来逐步扩充到各种Unix系统中，尤其对Linux的支持相当完美。Apache有多种产品，可以支持SSL技术，支持多个虚拟主机。Apache是以进程为基础的结构，进程要比线程消耗更多的系统开碰中扒支，不太适合于多处理器环境，因此，在一个Apache Web站点扩容时，通常是增加服务器或扩充群集节点而不是增加处理器。到目前为止Apache仍然是世界上用的最多的Web服务器，市场占有率达60%左右。世界上很多著名的网站如Amazon.com、Yahoo!、W3 Consortium、Financial Times等都是Apache的产物，它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用（可以运行在几乎所有的Unix、Windows、Linux系统平台上）以及它的可移植性等方面。

---