阿里雲到底幹了什麼？_風聞

【本文來自《發現嚴重漏洞未及時報告，阿里雲被暫停工信部網絡安全威脅信息共享平台合作單位6個月》評論區，標題為小編添加】

轉自微博@一玶海岸

阿里雲到底幹了什麼？

根據21世紀經濟報道，故事大概是這樣的。

11月24日，阿里雲發現阿帕奇Log4j2組件存在重大安全漏洞。

從後來的情況來看，可能是“計算機歷史上最大的漏洞”。

阿里率先向阿帕奇軟件基金會披露了這一漏洞，但並未及時向中國工信部通報相關信息。

上報後，奧地利和新西蘭官方的計算機應急小組率先對這一漏洞進行了預警。

12月9日，工信部網絡安全威脅和漏洞信息共享平台收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。

由於阿帕奇Log4j2組件是基於Java語言的開源日誌框架，被廣泛用於業務系統開發，漏洞非常嚴重。

12月17日，工信部網絡安全管理局緊急發佈《關於阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》。

根據2021年7月工信部、國家網信辦、公安部三部門聯合印發的《網絡產品安全漏洞管理規定》第七條、第九條要求：（一）發現或者獲知所提供網絡產品存在安全漏洞後，應當立即採取措施並組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響範圍；對屬於其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。（二）應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平台報送相關漏洞信息。阿里雲雖然將漏洞通知了相關產品提供者，卻未能在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平台報送相關漏洞信息。

阿里此舉明顯違反了上述規定。

經研究，工信部網絡安全管理局決定暫停阿里雲作為上述合作單位6個月。暫停期滿後，根據阿里雲整改情況，研究恢復其上述合作單位。

有沒有程序員大牛從技術角度來説一説，阿里為什麼這麼幹？