對(duì)于任何一個(gè)軟件系統(tǒng)來說，安全毫無疑問都是第一要素，一個(gè)系統(tǒng)哪怕處理速度再快、并發(fā)性再高，如果不能提供可靠的服務(wù)，那么再強(qiáng)的性能也將變得毫無意義。

前一段時(shí)間阿里云發(fā)生的瞞報(bào)事件想必大家都有所耳聞。12月9日突然曝出log4j2組件存在一個(gè)高危漏洞（漏洞編號(hào)：CVE-2021-44228），通過這一漏洞將可以對(duì)目標(biāo)計(jì)算機(jī)實(shí)施遠(yuǎn)程控制并竊取上面的機(jī)密文件，因此對(duì)包括金融、醫(yī)療、公共事務(wù)在內(nèi)的諸多領(lǐng)域產(chǎn)生了極為重大的威脅。

在漏洞曝出一天后的12月10日12點(diǎn)就已經(jīng)發(fā)生了1萬多起利用這個(gè)漏洞進(jìn)行黑客攻擊的行為。從造成的影響以及危害程度來說，這個(gè)漏洞可以說是有史以來最為嚴(yán)重的漏洞之一。威脅到了超過6萬多個(gè)軟件以及70%以上的線上業(yè)務(wù)系統(tǒng)。

經(jīng)過調(diào)查后發(fā)現(xiàn)，阿里云早在漏洞爆發(fā)前的11月24日就發(fā)現(xiàn)了這一高危漏洞，并將相關(guān)信息提交給美國(guó)阿帕奇軟件基金會(huì)，但是卻沒有按照規(guī)定上報(bào)給國(guó)內(nèi)工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)，因此也導(dǎo)致國(guó)內(nèi)相關(guān)安全部門直到漏洞爆發(fā)之后才得到相關(guān)信息，使得大量的關(guān)鍵系統(tǒng)暴露在風(fēng)險(xiǎn)之下。

作為國(guó)內(nèi)云計(jì)算市場(chǎng)份額第一，全球市場(chǎng)份額第三的阿里云犯下這個(gè)錯(cuò)誤無疑十分不應(yīng)該。要知道云計(jì)算廠商的第一條準(zhǔn)則就是遵守當(dāng)?shù)氐姆ㄒ?guī)，而阿里云作為一家國(guó)內(nèi)廠商連自己國(guó)家的法規(guī)都無法遵守，那么在全球市場(chǎng)競(jìng)爭(zhēng)的時(shí)候又如何去和亞馬遜AWS、微軟Azure進(jìn)行競(jìng)爭(zhēng)？

作為懲罰阿里云也遭到了暫停網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位資格6個(gè)月的懲罰。阿里云的問題在于明明身為合作單位卻沒有足夠的安全意識(shí)和責(zé)任心，這種發(fā)現(xiàn)漏洞卻不報(bào)告的行為無疑讓阿里已經(jīng)失去了作為網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位的資格。

當(dāng)時(shí)在阿里遭到懲罰之后，很多人還為阿里鳴不平，認(rèn)為對(duì)阿里的懲罰太重了。但是最近發(fā)生的一件事情卻讓人發(fā)現(xiàn)原來對(duì)于阿里云的懲罰很有先見之明。

美國(guó)商務(wù)部工業(yè)和安全局（BIS）在近期正式發(fā)布了針對(duì)網(wǎng)絡(luò)安全領(lǐng)域的最新的出口管制規(guī)定，這份規(guī)定按照限制的程度將全球國(guó)家分為A、B、C、D、E五類，中國(guó)就被劃分至D類——在國(guó)家安全、生化、導(dǎo)彈技術(shù)、武器禁運(yùn)等相關(guān)領(lǐng)域，美企在發(fā)送相關(guān)漏洞的信息情報(bào)之前必須提前申請(qǐng)，在獲得批準(zhǔn)之后才能夠發(fā)送漏洞等相關(guān)信息。

這項(xiàng)規(guī)定對(duì)于我們的信息安全無疑將構(gòu)成巨大的威脅。例如log4j2組件的高危漏洞影響范圍很大，如果按照最新的出口管制規(guī)定，那么很有可能需要經(jīng)過長(zhǎng)時(shí)間的申請(qǐng)之后才能獲準(zhǔn)披露，甚至也有申請(qǐng)失敗的可能性。這樣就會(huì)導(dǎo)致我們很多的關(guān)鍵領(lǐng)域暴露在漏洞之下，存在著消息丟失和被竊取的風(fēng)險(xiǎn)。

此時(shí)才發(fā)現(xiàn)對(duì)于阿里云的重罰確實(shí)有意義，也為其他企業(yè)劃定了底線。隨著漏洞情報(bào)也成為管制內(nèi)容的一環(huán)，對(duì)于我們的國(guó)家安全信息也必須提出更高的要求。一旦發(fā)現(xiàn)漏洞應(yīng)該先向國(guó)內(nèi)的安全平臺(tái)報(bào)告，然后再著手分享和修復(fù)等事宜，這樣才能防止部分漏洞被控制而造成進(jìn)一步的損失。

當(dāng)然阿里云的功績(jī)也不能否定，但功勞是功勞，過錯(cuò)是過錯(cuò)。也希望在這一次的安全事件以及美發(fā)布最新的出口管制規(guī)定之后，阿里能夠迷途知返，為國(guó)家的信息安全系統(tǒng)做出更多的貢獻(xiàn)。