Sleepy Chibi
2021-12-18T08:15:08+00:00
仔细看看工信部的处罚,暂停合作6个月,罚的并不重。处罚依据是没有在两日内上报。
问了几个阿里的朋友,虽然不是那个团队的,但基本得出的结论是,公司流程机制漏洞。
首先,阿里自己的漏洞,肯定是会及时上报的,这个就算没工信部新的法规,也有这个机制。
其次,这次发现的是开源软件的漏洞,按开源工程师的惯性思维,是先反馈给开源厂商,一起讨论解决方案,再通告有关部门,这一来一去肯定晚于两天了。关键就是,这个新规的培训,大概率没覆盖到安全团队负责扫码开源软件漏洞的工程师这。
可能一开始也意识到,漏洞的影响范围有那么大。
这事阿里罚的不冤,工信部给了6个月时间整顿,也算是奖罚并惩了。
但也没有很多人说的那么严重,尤其是扣卖国这种帽子,不是蠢就是坏。
楼主你等着别跑,我这就找人来给你扣帽子[s:a2:lucky]
就是卖国,NSA的永恒之蓝忘记了吗,本来这个就是我们的武器
[quote][pid=575851567,29975080,1]Reply[/pid] Post by [uid=42899174]blueshine28[/uid] (2021-12-23 16:19):
楼主你等着别跑,我这就找人来给你扣帽子[s:a2:lucky][/quote]帽子扣起来简单,摘下去难,几个在阿里的朋友也是有苦说不出啊
确实,这个事情有可能影响国家安全,但看上去不像是卖了国,比较像是之前没注意这方面的事情
要真卖了国这不得抓几个内奸出来?搞不好阿里云整个都完蛋
之前那个帖子里给阿里洗地的、把锅扣码农头上的、aoe码农的都有问题
[quote][pid=575856987,29975080,1]Reply[/pid] Post by [uid=525744]千唤守护[/uid] (2021-12-23 16:38):
帽子扣起来简单,摘下去难,几个在阿里的朋友也是有苦说不出啊[/quote]有啥说不出的,卖国不至于,违法是实锤的。
没这根弦就是有问题,别太天真了,外面可没人跟你讲武德
[quote][pid=575858670,29975080,1]Reply[/pid] Post by [uid=60141053]谋杀复读机[/uid] (2021-12-23 16:44):
程序员强迫症犯了
是log4j2
不是log4j[/quote]其实也不算错 1.x版本不受漏洞影响
[quote][pid=575857540,29975080,1]Reply[/pid] Post by [uid=81341]silverna[/uid] (2021-12-23 16:40):
之前那个帖子里给阿里洗地的、把锅扣码农头上的、aoe码农的都有问题[/quote]泥潭不aoe还叫泥潭么?
本来就是 zz觉悟不够,管理层拉夸,但要说卖国那就过了,真要卖国说都不说,直接挨个拔库。这漏洞都存在多久了,阿里倒霉就倒霉在,这个漏洞杀伤范围广,危力还不小,国内厂商有没前车之鉴,直接成鸡被杀了一下,工信部做的也没错,处罚警告,全行业通告,所有厂家都得绷紧网络安全的弦。
理论上正常使用而且有安全团队的服务器,这个漏洞根本影响不到
反倒是四面透风的小家小户也不在乎多个窟窿
上报流程肯定有问题
扣帽子没必要
按照来源社区的规范先报告给开发者一点问题没有 但毫无国家信息安全的敏感性就真是大问题 毕竟面对的是一个别有用心又虎视眈眈的外界