阿里云回应未及时上报漏洞被处罚

2021-12-24

阿里云在11月发现了Apache(阿帕奇)史上尽可能最严重的漏洞，但却没有向国内主管部门工信部报告，而是首先向美国的Apache软件基金汇报了此问题。最后工信部是从网络安全专业机构得到的消息。

阿里云给美国的开源组织上报完了，却把工信部扔下了，属于严重的不合作行为，被工信部暂停合作单位资格6个月。

根据阿里云与工信部合作要求：发现漏洞两日内报告给工信部。暂停合作是因为没及时汇报，规定写的很清楚要2日内报告。而不是因为发现漏洞。有功夫给apache报，没功夫给国家报？

发现漏洞，本应该是好事，怎么阿里云还被罚了，其实，行业内都是这么做的，反过来想一想，为什么不是华为，不是360，腾讯发现这样的漏洞，而是阿里云，至少证明了阿里云的技术是可以的。

阿里这事就是典型的技术思维不讲政治，技术人员其实思路没问题，先报给开发商，等待开发商修复。但是阿里的人忘记了他是中国公司，他应遵守中国的法律法规，就跟美国企业为啥放着钱不赚不卖芯片给你中国人？违反了工信部的规定挨罚那是活该。

阿里云官方今日回应称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。