Alan Au
2021-12-16T18:20:49+00:00
没有及时按政策规定上报工信部,大概率是流程有问题:
1.上级不重视此政策规定,少有组织培训流程
2.有符合政策规定的流程,但没有强制实施
3.有强制实施流程,但经手人未完全按流程执行
可以从这几点来说道,甚至可以讨论下:工信部如何在没有上报的情况下通过非常规手段第一时间主动获取重大漏洞信息[s:ac:汗][s:ac:汗][s:ac:汗]
---
至于好多人说的“明知影响巨大,故意不上报工信部”,开始人身攻击程序猿,甚至上升到“大是大非”、“汉奸”、“程序猿群体”。。。真想多了
---
有程序猿在反驳,是因为他们单纯从技术上,第一反应都是先上报开源项目的作者,先修复漏洞。。这也是很多开源项目的一般玩法。。
---
所以,怎样才能以非常规手段第一时间主动获取此类信息,以绝后患?[s:ac:咦][s:ac:咦][s:ac:咦]
成为开源项目的作者就可以了[s:ac:goodjob]
没有办法。
全球互联网和主权国家制度冲突的太严重了。
君不见阿桑奇,斯诺登旧事乎。
上报这种事情,事先防范太难。
人家完全可以主张自己根本就没发现。技术菜不是罪过嘛。以后干脆别找bug,找不到还好,找到了就要担责任。多做多错不做不错就是这个道理。
一句话,内行指导内行,专业的事情交给专业的人去做。
你自己回头翻翻那几个高楼,那是部分傻逼程序员第一反应第二反应的问题嘛,那是部分傻逼程序员压根觉得报给开源组织就行,没有必要报给国家安全主管部门。
说明相关人员缺了路径依赖,没有把“漏洞上报国家”和上报社区联系起来。哪怕当事人本身没有歹意,也说明了对工程技术可能带来的后果不敏感,应加深对工程伦理方面的素养。
所以才要出台政策规范,以法律约束流程。
重点是这个规范实施出来不到三个月,从企业流程建设到个人行为习惯培养来说都没那么快,导致这个事件的发生。
更别说圈内有些公众号为了吸引眼球,直接公开了利用代码。当时安全圈都在骂这人,而至于这人到底被没被抓,我也不知道。
多盯着点CVE就行了,然后让你们公司在工信部那个平台注册一下也顺便看看。
反正在那以前的0day你也防不住。
把工信部当成一个客户,然后你一个重大漏洞不告诉客户两个星期,还是敏感部门,解约不是很正常吗?
只能说以后敏感部门别用开源软件。
只能说国家还是理智的,喷阿里是一点问题都没有。但是要是真把那个发现漏洞的程序员扣个叛国的帽子,以后就别指望有人敢搞网络安全了。
吃准了国内要扶持产业,美国找到茬是真的会下死手,利益关系大概是这样,看看怎么破局吧
“难道要成为下一个中兴吗”“条例刚刚规定,只是疏忽了而已不是大事”只是某些人无意识的双标吃相太难看惹人厌烦…
[quote][pid=575705315,29967956,1]Reply[/pid] Post by [uid=61239660]kea123[/uid] (2021-12-23 02:38):
成为开源项目的作者就可以了[s:ac:goodjob][/quote]+1
建议国家直接搞一个准入制,类似军工,涉及国家安全的项目只能引入审核过的依赖,只能由有资质的单位开发,再搞几个军代表去厂里review代码。
我反正觉得这事骂阿里一点毛病没有,AOE程序员挺莫名其妙的,不说别的,工信部理你个人报送算的[img]http://img.nga.178.com/attachments/mon_201209/14/-47218_5052bc4cc6331.png[/img]
[img]https://img.nga.178.com/attachments/mon_202112/23/-7Q2p-7scbK2pT3cSjy-sg.jpeg[/img]
[quote][pid=575705315,29967956,1]Reply[/pid] Post by [uid=61239660]kea123[/uid] (2021-12-23 02:38):
成为开源项目的作者就可以了[s:ac:goodjob][/quote]也不行,因为开源代码的mr和pr或者push都是公开的,真要扣帽子一样能扣,你提交代码前打招呼了没[s:ac:无语]
好的,以后每个PR都附带一个报告,不做都可能被揪住。。