阿里又出事了！发现网络安全漏洞，不上报工信部，却通知外国机构

突发！工信部宣布暂停与阿里云信息共享平台合作。这是怎么回事？阿里云犯了什么事？要了解这些疑问，首先我们要知道阿帕奇 Log4j2组件。
据悉，阿帕奇 Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。而在11月24日，阿里云发现阿帕奇（Apache） Log4j2存在安全漏洞。但阿里云没第一时间向工信部报告，反而率先向阿帕奇软件基金会披露该漏洞。

而阿帕奇软件基金会是专门为支持开源软件项目而成立的一个非盈利性组织，于1999年6月在美国特拉华州注册成立。

在阿里向他们披露漏洞后，奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行预警，而中国工信部是在收到网络安全专业机构报告后，才发现阿帕奇Log4j2组件存在严重安全漏洞。

根据工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》，网络产品提供者应当在2日内向工信部报送相关漏洞信息，而工信部12月9日发现上述漏洞，距阿里云首次发现已经过去15天。

值得注意的是：这次的漏洞被认为是“计算机 历史 上最大的漏洞”。多名云计算业内人士指出，这是一个非常基础的日志库漏洞。由于组件使用量很大，几乎所有的java程序都会涉及，所以影响面很大。

工信部指出，这一漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本，以降低网络安全风险。

看完上述，相信大家都知道阿里云犯了什么事了吧！根据工信部要求，网络产品提供者发现漏洞，应当在2日内向工信部报送相关漏洞信息。

有此要求是因为通常情况下，发现的早，知道的快，能及时防备、解决漏洞，避免造成损失。反之，知道得越晚，损失越大。

此次的阿帕奇 Log4j2漏洞，几乎影响全球，原本我国本应该能在11月24日就应对的，最后却滞后了15天，15天有多少设备受到了“入侵”呢？

所以，也难怪工信部宣布暂停与阿里云信息共享平台合作。工信部称，阿里云公司发现阿帕奇 Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，目前最新版本是6016。
Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持，最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现，Tomcat 5 支持最新的Servlet 24 和JSP 20 规范。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。
Tomcat 很受广大程序员的喜欢，因为它运行时占用的系统资源小，扩展性好，支持负载平衡与邮件服务等开发应用系统常用的功能；而且它还在不断的改进和完善中，任何一个感兴趣的程序员都可以更改它或在其中加入新的功能。
Tomcat 是一个小型的轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。对于一个初学者来说，可以这样认为，当在一台机器上配置好Apache 服务器，可利用它响应对HTML 页面的访问请求。实际上Tomcat 部分是Apache 服务器的扩展，但它是独立运行的，所以当你运行tomcat 时，它实际上作为一个与Apache 独立的进程单独运行的。
这里的诀窍是，当配置正确时，Apache 为HTML页面服务，而Tomcat 实际上运行JSP 页面和Servlet。另外，Tomcat和IIS、Apache等Web服务器一样，具有处理HTML页面的功能，另外它还是一个Servlet和JSP容器，独立的Servlet容器是Tomcat的默认模式。不过，Tomcat处理静态HTML的能力不如Apache服务器。
Apache是世界使用排名第一的Web服务器。它可以运行在几乎所有广泛使用的计算机平台上。
Apache源于NCSA>通过 apache 访问 后端 tomcat上的 websocket 服务，需要使用 mod_proxyso 和 mod_proxy_wstunnelso两个库文件（在apache24 安装目录下已存在，放开>

工信部这次暂停阿里云信息共享平台合作是因为阿里云在Web服务器阿帕奇下的开源日志组件log4j中发现了重大漏洞时并没有第一时间上报给工信部，而是上报了阿帕奇开源基金会。违反了工信部的规定将暂停阿里云作为信息共享平台的合作单位六个月，期满后根据阿里云的整改情况，在决定是否需要恢复阿里云合作单位的身份。log4j作为一款JAVA开发的开源日志记录工具，能够有效的记录程序在运行过程中产生的数据，对于分析系统存在的问题或者运行状态具有很大的作用，正因为log4j功能强大，所以在全球的使用性极其广泛。正因为其使用的范围很广，所以一旦出现问题，就会造成特别严重的后果。

11月24日阿里云在log4j发现了Log4Shell重大漏洞，这个漏洞可以使得设备远程被控制，从而敏感信息会被窃取，设备中断等对系统造成严重的危害，属于高危漏洞，甚至有声音说这是十年来最大的漏洞。可是阿里云在发现这个漏洞后，并没有按照《网络产品安全漏洞管理规定》的要求 2天内向工信部门网络安全威胁和漏洞信息平台报送信息，而黑客在得知漏洞后，在72小时内就可以发起攻击，而国家安全漏洞共享平台在事情发生半个月后才获得这一漏洞。所以这次终止跟阿里云的合作，阿里云并不冤枉。

再来看这件事对阿里云的影响，中信部门终止跟阿里云的合作，对阿里云在国内的发展势必造成影响，跟一些企业，尤其是国企的合作势必也会暂停。跟经济损失相比在信誉方面的损失会更大。

你知道工信部暂停阿里云信息共享平台合作，这背后的原因是什么？ 欢迎留言讨论。

---