所以,阿里云的这次发现都可能被称为是计算机 历史 上最严重的一个漏洞啊!本来这是阿里云的一大贡献!但是!随后他的 *** 作就有点让人目瞪口呆了!他把这个漏洞报告给阿帕奇基金会,然后……就没有然后了……
直到12月9日!咱们的有关部门才通过国外已经沸沸扬扬的新闻才知道这件事儿。而此时离阿里云发现漏洞已经时隔整整15天的时了!也就是说国外凡是知道这个漏洞的人或者单位都能轻松地侵入我们的服务器!要知道阿里云在第三季度已经占据了全国近40%的市场份额,一半以上的上市公司都在使用阿里云!
Apache Struts是金属材料;
Apache Struts金属在常温下一般都是固体,有金属光泽,大多数为电和热的优良导体,有延展性,密度较大,熔点较高。地球上的金属资源广泛地存在于地壳和海洋中,除少数很不活泼的金属如金、银等有单质形式存在外,其余都以化合物的形式存在。金属在自然界中广泛存在,在生活中应用极为普遍,在现代工业中是非常重要和应用最多的一类物质。
扩展资料:
由于金属的电子倾向脱离,因此具有良好的导电性,且金属元素在化合物中通常带正价电,但当温度越高时,因为受到了原子核的热震荡阻碍,电阻将会变大。金属分子之间的连结是金属键,因此随意更换位置都可再重新建立连结,这也是金属伸展性良好的原因。
在自然界中,绝大多数金属以化合态存在,少数金属例如金、银、铂、铋以游离态存在。金属矿物多数是氧化物及硫化物,其他存在形式有氯化物、硫酸盐、碳酸盐及硅酸盐。
工信部这次暂停阿里云信息共享平台合作是因为阿里云在Web服务器阿帕奇下的开源日志组件log4j中发现了重大漏洞时并没有第一时间上报给工信部,而是上报了阿帕奇开源基金会。违反了工信部的规定将暂停阿里云作为信息共享平台的合作单位六个月,期满后根据阿里云的整改情况,在决定是否需要恢复阿里云合作单位的身份。log4j作为一款JAVA开发的开源日志记录工具,能够有效的记录程序在运行过程中产生的数据,对于分析系统存在的问题或者运行状态具有很大的作用,正因为log4j功能强大,所以在全球的使用性极其广泛。正因为其使用的范围很广,所以一旦出现问题,就会造成特别严重的后果。
11月24日阿里云在log4j发现了Log4Shell重大漏洞,这个漏洞可以使得设备远程被控制,从而敏感信息会被窃取,设备中断等对系统造成严重的危害,属于高危漏洞,甚至有声音说这是十年来最大的漏洞。可是阿里云在发现这个漏洞后,并没有按照《网络产品安全漏洞管理规定》的要求 2天内向工信部门网络安全威胁和漏洞信息平台报送信息,而黑客在得知漏洞后,在72小时内就可以发起攻击,而国家安全漏洞共享平台在事情发生半个月后才获得这一漏洞。所以这次终止跟阿里云的合作,阿里云并不冤枉。
再来看这件事对阿里云的影响,中信部门终止跟阿里云的合作,对阿里云在国内的发展势必造成影响,跟一些企业,尤其是国企的合作势必也会暂停。跟经济损失相比在信誉方面的损失会更大。
你知道工信部暂停阿里云信息共享平台合作,这背后的原因是什么? 欢迎留言讨论。
如果您在访问Apache服务器时只看到了一闪而过的页面,可能是由于以下原因导致:1 Apache服务未启动:请确保Apache服务已经正确地安装并启动。可以通过命令行或者图形界面来检查和启动该服务。
2 防火墙阻止了连接:有些 *** 作系统自带防火墙功能,可能会限制外部计算机对本机的访问。需要将相关端口添加到允许列表中才能正常连接。
3 端口被占用:如果其他程序正在使用与Apache相同的端口,则无法正常运行。可以尝试更改Apache监听的端口号或关闭其他程序以释放该端口。
4 配置文件错误:配置文件中存在语法错误、路径不正确等问题也可能导致无法打开网页。建议检查配置文件是否正确,并重新加载配置信息。
以上是一些常见的解决方法,但具体情况还需根据实际情况进行排查和处理。
阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月,待处罚期满后再决定是否跟阿里云继续合作。这样的处罚可以说是对阿里云的一个警示,在国家反垄断的大背景下,阿里云失去了跟工信部的合作关系,对其承接国家项目尤其是一些国企的项目会带来严重影响。与经济影响相对的是这次处罚带来的信誉影响更严重。阿里云作为国内云计算的龙头企业,承担了90%以上的中小企业云计算功能,如此庞大的规模,稍有不慎就可能会满盘皆输。下面来说一说整件事情:
一、阿里云冤不冤
这次发现的漏洞是基于阿帕奇Web服务器的log4j日志组件的,该组件被广泛应用于JAVA开发的各类程序中,因为其能帮助开发者分析系统运行情况以及状态。而这次发现的漏洞允许黑客通过该漏洞直接访问运行了log4j日志组件的服务器,相当于是把自己家门钥匙给了小偷。而在漏洞爆出了近半个月时间后工信部才接到别的安全企业发出的通知,相当于国内的服务器裸奔了近半月之久,所以作出这个处罚阿里云一点都不冤枉。
二、阿里云潜在问题
通过这件事情也暴露出阿里云潜在的问题,发现漏洞第一时间上报给了行业协会,但是并没有报告国家主管部门,不能只遵守行业协会的规定,而置国家法律法规不顾,这也体现了对法规条款学习的不到位。
三、后续影响
这件事对阿里云的影响不仅仅是经济上的,更多的是信誉上的,这件事后相信阿里云承接国企的项目难度会加大很多。
你知道阿里云未及时上报漏洞受到了怎样的处罚吗?欢迎留言讨论。
公众号:大树乡长
昨天,阿里云因为未依法及时向工信部报告发现的安全漏洞信息,被工信部决定暂停6个月阿里云的工信部网络安全威胁信息共享平台合作单位。
随即,阿里美股暴跌421%,预计接下来还将继续下跌。
就在今天,阿里云发布说明,表示将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险规范工作。
事情发生后,已经有很多人写了些文章,小镇也看到朋友转发的,具体不点名了,多数还是老一套,就喜欢用流量思维动辄把一件事上升到危害国家安全、中美对抗、中国网络安全裸奔等等。
首先,阿里云确实做错了,但不要过度夸张,更不要急着喊打喊杀。
云计算对人类发展非常重要。相比传统的分散式,云计算大大降低了成本、扩展性极强,由于设备在云端,大大提高了整个信息系统的可靠性和稳定性,避免因为服务器发生故障导致的损失,而且可以不断保持更新升级,大大增加了工作的流动性。
因此,云计算带来的种种变化是革命性的,也因此成为大国之争的关键领域之一,当然说白了还是中美两国。
在云计算领域,世界前五大云计算厂商,美国3个中国2个,只不过美国占据第一、第二的实力近乎压倒性的,尤其是第一的亚马逊,2020年的时候全球市场份额超过40%,第二的微软市场占比也达到了197%,然后就是阿里云,全球占比95%,华为云位居第五,全球占比42%,整体同第四的谷歌云接近。
从整体规模上,2020年美国3大厂商全球市场占比高达666%,中国两大厂商是137%,其他一切企业加起来占197%。
力量对比很明显,也正说明数字经济时代,中美已经成为了唯二的角逐者,在其他各领域也都类似。
站在国家的角度,阿里云和华为云都是中国的企业。纵然它们有些这样那样的缺点,可只要不是跟某些企业那样无可救药、不思进取地沉迷于赚快钱,肯定还是要支持的,毕竟这是自家的高 科技 竞争力。
当然,错了还是要敲打下、教训下,但这就是小惩大戒。
小惩大戒的前提确实是没造成多大危害,这就要回到这件事本身。
第二:从技术角度,阿里云程序员的做法没什么问题。
必须强调一件事,阿帕奇基金会绝不是某些自媒体渲染的是一个多么“邪恶”的外国势力,实际上这就是一个管理开源软件项目的非营利组织,这次出问题的log4j项目是阿帕奇基金会下一个开源项目。
在程序员的世界里,开放始终是互联网世界的底色,全人类在虚拟世界面临的许多共同问题,需要凝聚所有程序员的力量共同解决,于是就有了各种开源项目。
各开源项目的程序员来自全世界,阿帕奇基金会只是作为开源项目的管理方,并不参与具体的代码开发。既然项目是开源的,源代码向全世界公开,程序员又来自全世界,所以从根本上就不存在美国政府通过种种手段胁迫阿帕奇基金会的情况,更不可能去要求这家基金会或者开源项目隐藏漏洞,从而让美国人任意妄为。
道理很简单。
开源的基本就是源代码向全世界开放,任何人都可以通过阅读源代码进行 *** 作或者开发,换言之,只要一个水平过关的程序员,通过认真阅读源代码,就完全可以发现这个号称核d级别的log4j漏洞。
log4j作为一个开源的日志组件,本来就是免费的,按照开源协议,发现漏洞后本就是需要报告到作为开源项目管理方的阿帕奇基金会,在此之前也要求不能泄露给任何第三方,避免漏洞被利用。
这也是为什么我们国家要求发现之后2日内报告,而没有要求必须第一时间优先报告,也有这方面的考虑。
而上报的漏洞,也已经同步更新在开源社区,按照常规,各国、大企业还有很多程序员都会紧跟技术发展,登录这类开源社区进行查看、学习是日常习惯,正常来说,一般在漏洞上报后一两天,就能够发现这件事,并且开始处理。
分散在各公司的程序员们并不是只有当接收到工信部要求后才开始填补漏洞,他们的工作本身就要求迅速反应。
当然这里面有一个疏漏点,就是可能有的机构需要等工信部这类官方下令才会进行处理,又或者有的机构的程序员缺少主动工作的动力,一些领导者也可能不懂甚至漠视风险。
但是仅仅从程序员本身,优先向开源项目管理方报告没什么错,换成别的国家、别的公司,也都大致如此处理。
只不过这次有三个非常不同的点:
第一:发现者是阿里云,是一个大平台,而且正处于加大监管的大环境下;
第二:发现的log4j漏洞确实太离谱;
第三:上报15天后,阿里云仍然没有主动上报,国内竟然没有人发现并且补位上报,以至于等第四方国家吵起来才知道,结果这时候发现,竟然是中国人第一个发现。
种种原因叠加,也就有了工信部对阿里云的惩罚。
第三:阿里云错在内部管理和沟通
在互联网大公司,由于组织庞大,内部沟通常常出现问题,内耗极为严重,有的大平台,内部机构复杂到内部人都搞不明白,更别说协同了。
各部门也存在诸多不同或者说优劣势。
而负责对接政府的政府事务或者公共事务部门,基本上技术肯定是不懂的,多数人对政策也了解不怎么样,别看很多本来就是公务员,有的在中央部委干到处级,但认知水平其实也就那样。
这些人去了企业,往往就是通过自己在体制内呆久了、认识些人,在公司和政府之间来回要挟,有过就躲、有功就抢,拿着政府要求逼迫业务和技术部门,拿着平台资源去找政府等等;还有的在公司里成长起来的,连对体制的感觉也比较缺乏。
当然一般情况下,经常做政府事务工作的,还是有一定敏锐性,如果接到技术部门的通报,多半还是会及时上报,但假如没有形成一套完整、动态调整的机制呢。
比如:及时跟进解读政策变化,将政策变化与公司内部相关部门同步,对应调整信息同步流程和内容等等,这样的机制基本是欠缺的。
这里面有组织太大、政策跟进不及时、内部跨部门沟通困难甚至还有些个人的问题等等。
说这些,是尽可能深入的剖析下这么一个离谱的错误是怎么发生的,并非很多自媒体渲染的,阿里“卖国”等等。这其实就是种种机缘巧合之下叠加大组织病导致的。当然,其中也存在意识不足的问题。
说这些不是为了给阿里云脱责,仅仅是提醒更多的企业好好想想如何解决。
有的公司想出了不是办法的办法,比如某大平台要求所有员工,不分职责,对于安全监管问题人人有责、人人补位,虽然导致工作量大增,但起码也是个应急的办法,所以这家公司就明显少出现很多问题,股价也稳得多。
对于阿里,当然是要敲打的,一家如此大的平台,享受了中国巨大的发展红利和政策优待,就理应担负起与能力对应的责任,无论什么理由,责任没有尽到就是问题,就要罚。
就算是技术人员,遇到问题后也肯定上报了技术主管,技术主管有没有上报
我国也要求上了规模的公司要成立信息安全机构,由公司高层直接负责,这些问题理应上报到负责信息安全的高层,这里面出现了什么问题?
当然,阿里也付出了代价,整个阿里集团核心业务实际就是三驾马车:电商、金融和阿里云为首的 科技 产业。
金融不说了,电商今年受到严重冲击,头部主播被严查还将面临一系列的税收问题,本来今年阿里股价已经跌掉了三分之二,剩下的三分之一就是靠着阿里云这样的支柱撑着。
现在被工信部暂停6个月的合作伙伴资格,必然会影响到国内很多机构同阿里云的合作,业绩受挫是必然的了。
所以就出现了昨晚阿里美股暴跌,损失不可谓不惨重。
最后,还是要说一句:
阿里确实有错,但错不致死,毕竟还是中国自家的高 科技 竞争力,罚就罚了,没必要上纲上线,更不能干出来亲者痛、仇者快的事,如果中国云计算两大支柱之一受重创,占便宜的只有美国。
小惩大戒,以观后效就好了。
阿里作为一家扎根中国的企业,不会真的不明白应该怎么做,相信一定会积极整改。但是也得提醒很多企业,千万不要轻视组织内部的沟通问题,安全更是红线,否则阿里云就是前车之鉴。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)