关于阿里log4j2漏洞上报问题，给阿里说句公道话

工信部对阿里的处罚是非常公正合理的。而看到网上很多人却对此上纲上线，无限拔高，动不动就往卖国上扯，实在是不吐不快，因为这样下去，中国迟早人人都能被它们打成卖国分子。正是应该团结一切可以团结的力量的时候，却有人在拼命煽动搞内斗，还将人往死里斗，他自以为是在爱国，但干的事却是敌对势力努力想做成的事。

阿里对于这个漏洞的上报流程，是目前全球主流的，公认的漏洞上报处理流程。事实上过去20年，全世界的软件漏洞都是这么处理的。这套流程已经运作了很多年了。

我们国家是直到今年的7月12日才出了一个新的规定《网络产品安全漏洞管理规定》，9月1日开始施行，请大家自己上网查看全文。而且我大胆猜测，中国99%的开发人员在这个事情出来前，压根不知道有这么个文件。起码我在这事出来前既不知道这个文件，也不知道这个平台。

其中第七条规定：网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施。应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

很多人说的这个2日内，实际是出自这一条。但问题是在log4j2这个事情里，阿里并不是该网络产品的提供者，这个产品提供者是apache组织，阿里只能算作网络运营者。所以这一条从字面上来说并不适用阿里。

阿里适用的是第10条：

鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。

这里只有鼓励而已。

所以根据这个规定，其实并不能对阿里进行处罚。对阿里进行处罚实际是因为它同时是工信部网络安全威胁信息共享平台合作单位。而它作为合作单位，却没有及时上报，所以才需要进行处罚。至于这个合作单位到底是什么性质，其中有什么义务和权利，有什么奖惩措施，我不知道，我相信绝大部分喊打喊杀的网友更加不知道。而工信部知道，所以工信部根据工信部网络安全威胁信息共享平台合作单位的条例进行这么一个处罚是非常公正合理的。

我不知道阿里公司到底为什么会犯这种错，我个人的猜测是，阿里由于部门之间的沟通问题，导致阿里这个员工可能压根不知道中国新出了这么个规定和平台，和中国99%的开发人员一样。阿里公司是什么情况我不知道，但我以前做软件开发管理时，确实也从未关注过工信部是不是出什么新规定了，都忙着开发呢。最关注这种动态的公司，往往是那种喜欢去骗政府补贴的公司。

如果这样就是卖国，那我大胆猜测，中国99%的开发人员都符合你们所定义的卖国条件，唯一不同点在于，这些人没能力发现这个漏洞罢了。这样的话，那还真不如不发现，更别提公开漏洞，自己拿着漏洞赚钱不香吗？这样，不是鼓励劣币驱良币吗？

大家就事论事，不要动不动上纲上线，无限拔高。这样中国没人是安全的，谁都可能被人轻易地打成卖国分子。

转载自https://www.toutiao.com/i7044918593619771917/