Marcolee
2021-12-18T17:41:42+00:00
我是一个研究地理的人,我在研究某一处时,发现它出现了a现象,这个a可能会导致这一片的生物遭到灭顶之灾
而且这个a现象没有人发现过
于是我把这个a现象写成了论文发表在期刊上,但是在此过程中我并没有上报国家
我觉得我这么类比应该没问题?
之后说一下我的看法
1.能不能发论文或者说能不能上报阿里实践的那个bug?当然可以,这没有问题
2.应不应该上报国家?废话,这事关安全你tm凭什么不上报?
之后牵扯到第三点:阿里培训有没有到位?有没有落实?
最让我惊讶的是这事竟然是阿里的开发者私人报告的,以阿里的企业文化竟然还有人敢干这种事,正常来讲企业不论用的什么开源代码开源框架,企业才是使用者和拥有者,员工个人只是操作工,没有任何权利处置,报不报告,怎么报告,给谁报告都不是员工有权利决定的
瞎鸡儿类比,还这么多戏
这事没这么多弯弯绕绕
简而言之,主管单位对你有要求,要求你要上报发现的安全漏洞
然而你发现漏洞报了开发者没报主管单位
不罚你主管单位不要面子的?
...刚刚那个帖子没了...
这样说 你上报开发和上报国家是两码事 是可以并行的 这两个事情并不冲突
我给你一个比较合适的类比吧……
你在一个xx工厂工作,是一位工程师
今天早上你发现厂里的机器出了点小问题
排查之后你发现是机器厂家没有考虑一个特殊的情况导致机械停机
而刚好你的机器遇到了这个特殊情况
你知道你买的这台机器有很多公司都在用
你知道它们也可能会遇到相同的事情,而且可能产生比你遇到时更严重的后果
那么你会向国家报告"xx公司的产品有一个很大的问题"
还是去找机器的厂家"你们的机器有一个很大的问题"
[s:ac:咦]还要类比什么?,要求你报,你没报,那就是罚。就这么简单的事情需要类比这类比那的?
[quote][pid=575701276,29967776,1]Reply[/pid] Post by [uid=61934275]navymaster[/uid] (2021-12-23 01:46):
我给你一个比较合适的类比吧……
你在一个xx工厂工作,是一位工程师
今天早上你发现厂里的机器出了点小问题
排查之后你发现是机器厂家没有考虑一个特殊的情况导致机械停机
而刚好你的机器遇到了这个特殊情况
你知道你买的这台机器有很多公司都在用
你知道它们也可能会遇到相同的事情,而且可能产生比你遇到时更严重的后果
那么你会向国家报告"xx公司的产品有一个很大的问题"
还是去找机器的厂家"你们的机器有一个很大的问题"[/quote]为什么你要选择,你上报厂商,同时你公司加入了国家的安全同盟,所以也要按规定上报国家。
[quote][tid=29967776]Topic[/tid] Post by [uid=61948152]3454534534我[/uid] (2021-12-23 01:41):
我是一个研究地理的人,我在研究某一处时,发现它出现了a现象,这个a可能会导致这一片的生物遭到灭顶之灾
而且这个a现象没有人发现过
于是我把这个a现象写成了论文发表在期刊上,但是在此过程中我并没有上报国家
我觉得我这么类比应该没问题?
之后说一下我的看法
1.能不能发论文或者说能不能上报阿里实践的那个bug?当然可以,这没有问题
2.应不应该上报国家?废话,这事关安全你tm凭什么不上报?
之后牵扯到第三点:阿里培训有没有到位?有没有落实?[/quote]相关信息安全管理条例里已经回答你的12,不用额外举例了。
1. 可以第一时间上报给开源项目管理人
2. 要求2日内上报工信部
[s:a2:偷吃]
不太一样吧,你这说的太基应二相性了吧。地质问题,我不说,它该塌还是得塌,而且别人也没有气象武器让他塌。主要还是阿里觉得这是一个基础科学的问题,我应该无私的分享给“全人类”,链式反应的原理我不能也不应该自己藏着不说。泥潭老哥认为,这是个应用科学问题,到底怎么算要多少铀235,你凭什么告诉纳粹?
我觉得这题本身就是一个电车难题,阿里觉得我扳了道,救下了5个人。泥潭老哥觉得,你他喵的压死的那个是自己人!
这东西无解的。
问了几个10年以上的程序员同学,没人知道这个规定,参考过往所作所为,安个叛国罪不算冤。
[quote][pid=575701091,29967776,1]Reply[/pid] Post by [uid=41225867]574393137tnt[/uid] (2021-12-23 01:44):
瞎鸡儿类比,还这么多戏
这事没这么多弯弯绕绕
简而言之,主管单位对你有要求,要求你要上报发现的安全漏洞
然而你发现漏洞报了开发者没报主管单位
不罚你主管单位不要面子的?[/quote]就是 主管部门让上报 你不执行自己看着办 [s:ac:汗]
银保监天天让我们银行保险公司上报各种资料 谁特么敢跟银保监说句我不报 阿里巴巴就是皮痒 没吃过处罚 这次给他点教训
[quote][pid=575701758,29967776,1]Reply[/pid] Post by [uid=697531]赤雪[/uid] (2021-12-23 01:51):
问了几个10年以上的程序员同学,没人知道这个规定,参考过往所作所为,安个叛国罪不算冤。[/quote]果然互联网是法外之地啊
你制造企业,要是质监局下个法规你底下不执行出问题了,你能义正言辞的说我们没学习过所以没错试试?
轮到码农居然是个理由了?真让人大开眼界啊
[quote][pid=575701171,29967776,1]Reply[/pid] Post by [uid=26132834]disablehelp[/uid] (2021-12-23 01:45):
...刚刚那个帖子没了...
这样说 你上报开发和上报国家是两码事 是可以并行的 这两个事情并不冲突[/quote]有冲突的,上报国家就默认这个漏洞公告天下了,等平台弄好前,就有一堆人用这个漏洞搞事了。
[quote][pid=575701758,29967776,1]Reply[/pid] Post by [uid=697531]赤雪[/uid] (2021-12-23 01:51):
问了几个10年以上的程序员同学,没人知道这个规定,参考过往所作所为,安个叛国罪不算冤。[/quote]有没有规定是主管单位的事
你学不学
是你的事[s:ac:哭笑]
[quote][pid=575701276,29967776,1]Reply[/pid] Post by [uid=61934275]navymaster[/uid] (2021-12-23 01:46):
我给你一个比较合适的类比吧……
你在一个xx工厂工作,是一位工程师
今天早上你发现厂里的机器出了点小问题
排查之后你发现是机器厂家没有考虑一个特殊的情况导致机械停机
而刚好你的机器遇到了这个特殊情况
你知道你买的这台机器有很多公司都在用
你知道它们也可能会遇到相同的事情,而且可能产生比你遇到时更严重的后果
那么你会向国家报告"xx公司的产品有一个很大的问题"
还是去找机器的厂家"你们的机器有一个很大的问题"[/quote]两个都去报告又不会死人[s:ac:呆]
[quote][pid=575701750,29967776,1]Reply[/pid] Post by [uid=38333709]hl199399[/uid] (2021-12-23 01:51):
不太一样吧,你这说的太基应二相性了吧。地质问题,我不说,它该塌还是得塌,而且别人也没有气象武器让他塌。主要还是阿里觉得这是一个基础科学的问题,我应该无私的分享给“全人类”,链式反应的原理我不能也不应该自己藏着不说。泥潭老哥认为,这是个应用科学问题,到底怎么算要多少铀235,你凭什么告诉纳粹?
我觉得这题本身就是一个电车难题,阿里觉得我扳了道,救下了5个人。泥潭老哥觉得,你他喵的压死的那个是自己人!
这东西无解的。[/quote]怎么就无解了
按楼上说的,条例不是规定两边都报吗?
这所谓电车难题根本一开始就不存在吧,明明是两条平行轨道[s:ac:茶]
[quote][pid=575702220,29967776,1]Reply[/pid] Post by [uid=60373105]我可不是风寒[/uid] (2021-12-23 01:55):
有冲突的,上报国家就默认这个漏洞公告天下了,等平台弄好前,就有一堆人用这个漏洞搞事了。[/quote]上报开源公司就没人搞事了么[s:a2:鬼脸],cia这次的攻击应该给你上课了吧
为什么需要类比
条例不是白纸黑字的么,上传开源社区之后两日内上报国家
本质上就是吃准了国内不会制裁它,而美国真的会制裁它。贱
这通报并不是因为国内事后才知道的缘故,就算事前知道还不是一样得等作者发补丁跟进,而是没知会一声,哪怕短期内修不了,也要吱一声就这么简单
说白了,就是阿里不把工信部不放在眼里,那就出这种通告敲打一下罢了,没啥可过度解读的
就是一个简单丢面子,找面子的过程