这段时间网上的瓜很多，除了明星离婚和带货主播漏税这类老瓜之外，近期最受关注的瓜应该就是阿里云被工信部暂停合作六个月了，毕竟明星和带货主播和咱们普通人没直接联系，而阿里云发现的Apache Log4j系统漏洞却是关系到咱们每个人的安全问题。

阿里云做了什么？

阿里云的瓜很简单，就是阿里云员工在11月24 日发现了Apache Log4j系统漏洞，按照惯例反馈给了软件开发商阿帕奇软件基金，这点没有什么问题，问题出现在没有按照今年九月份工信部和阿里云、腾讯云等厂家签署的《网络产品安全漏洞管理规定》，在两日内将发现的网络危害漏洞上报给相关部门进行预警处理。一直到12月9日相关部门才得知这一高危漏洞存在，意味着在这十几天时间内，外国公司是知晓漏洞存在，而咱们不知道，只是咱们处于被海外企业窃取信息的风险中。

具体有没有造成危害不清楚，由于阿里云未按规定上报漏洞，工信部对其处以了暂停合作六个月的处罚，后续是否恢复合作要看阿里云整改情况所定。

在处罚下达的第二天阿里云方面就Apache Log4j系统漏洞情况就行了说明，说明中表示阿里云一名工程师发现了漏洞，报告给了开源方Apache，后续被证实为是一个全球性重大漏洞。阿里云早期未意识到问题的严重性，没及时共享漏洞。后续阿里云会加强漏洞管理，提高合规意识，协助各方做好防护工作。

从阿里云的说明中可以看出三个问题

1.阿里云工程师能力可以，但是太忽视相关规定。

此次发现的漏洞存在挺长时间，其他企业工程师都没有发现，只有阿里云的工程师发现了，在能力上不得不承认是非常可疑的。发现之后按照规定将漏洞报告给了开源方，看得出会按规定做事，但是太专注于自身工作规定，而致相关部门相关规定于不顾，就是大问题了。就像一些网友说的，忘本了，认不清自己是哪国人。

2.阿里云管理者出现问题。

合作协议是九月份才出台签署的，无论是员工如果不知道此规定，不知晓要进行上报，还是知晓此规定却忘记报告，那都是管理者出现了问题，没有宣传到位，让员工执行到位。网络安全一直都是重中之重，不然相关部门不会出台相关规定，既然出台了，并和企业签订合作协议，企业相关负责人就要执行到位。这其实也暴露出一个现象很多企业对相关规定都是处于无视状态。

3.承认了自身错误，但是对于带来的危害闭口不谈。

从说明中可以看出阿里云承认了没有按规定上报漏洞的错误，后续也会加强相关管理，避免相关事件再发生。但是对于其所犯错误可能会带来的危害，却是闭口不谈，这样的说明看不出道歉的意思。就像是一个人犯错，做检讨的时候，只讲自己错了，后面会改，但是对于自己做错事带来的危害和影响却不提。危害都意识不到，后续会重视？就算意识到至少也要提出来，这是态度问题。

处罚是不是太轻

此次阿里云发现的漏洞是个巨大漏洞，该漏洞被的危害性Apache软件基金会评为10级漏洞，最高级为10级，越高代表越严重。通过此次的漏洞，黑客可以不受到任何限制，通过简单的代码就可以实现对软件和设备的远程控制，窃取到任何想要的信息和做一次操作，会直接会危害到个人，各大企业，甚至国家安全，但是对于这样大的危害，阿里云却在说明中闭口不提，不知道它是怎么个意思。

可能是没有造成实质性危害，所以工信部只对阿里云作出了暂停六个月合作的决定。这一决定看似比较轻但是实际影响是很大的，首先官方的合作六个月内阿里云是没有资格接单的，这对业务上会造成很大影响。其次现阶段正在合作的项目可能也会暂停。最后阿里云名声大跌，后续企业寻找合作对象，阿里云可能会被排除在外，一些续约客户可能也不会再合作。

总结

木已成舟，相应的处罚已经作出，阿里云对事件的回复没有什么诚意，不知道后续是否还会恢复合作。希望各大企业都引以为戒，相同的事不要再发生，网络危害这事说小很小，大起来也很大。

暂停合作6个月，捅了娄子的阿里，暴露了三个内部问题

阿里云就处罚做出回应，却被调侃“罚轻了”