阿里最早公开这个漏洞，按说是个巨大的功劳，但是阿里云的操作却两头不讨好

【本文由“小飞侠杜兰特”推荐，来自《阿里云：早期未意识到Apache log4j2漏洞的严重性，将提升合规意识》评论区，标题为小编添加】

• 一方晴空
• 还是避重就轻，阿里作为国内信息安全成员企业，发现问题应该按照法律和程序规定在2天内上报国家主管部门，这个问题并不涉及漏洞严不严重的问题。

更要命的是，这个漏洞使用门槛极低。即使是毫无经验的互联网小白，只要按照简单的指令操作，就可以变成服务器杀手。

已经有网友证实，更改 iPhone 名称就可以触发漏洞。还有网友试了试百度搜索框、火狐浏览器里输入带${ 的特殊格式请求，就能造成网页劫持。

阿里最早公开这个漏洞，按说是个巨大的功劳，但是阿里云的操作却两头不讨好。因为他把这个漏洞报告给了阿帕奇（Apache）基金会。这个阿帕奇基金会，是美国控制下的。

为啥说两头不讨好呢？因为中国在骂阿里云,美国方面可能也在骂。对于美国来说，内心戏是这样的：就谝（piǎn）你能！劳资藏了这么久的网络武器，你特么给我公开了！

为啥这么说？因为据说美国早就知道这个漏洞，但没有声张。大家不用奇怪，这是美国的基本操作，后门和漏洞其实是一种战略资源。

一旦发现，美国只会窃喜，是不会公开的。在必要的时候出其不意，给对手以致命的一击，把对方的网络搞瘫痪，把对方的数据给毁灭。

今年9月1日，为落实《网络产品安全漏洞管理规定》有关要求，工信部网络安全管理局组织建设的工信部网络安全威胁和漏洞信息共享平台正式上线运行。

而这个《网络产品安全漏洞管理规定》第七条明确指出，各企业发现安全漏洞后，应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

阿里云的问题是把这个武器提交给了阿帕奇（Apache）基金会，却没有向工信部提交，这不仅仅是个政治错误，关键是违法了。

信息共享平台，就是大家都把漏洞提交到这里，做到群防群治，维护了自己利益，也维护行业利益，更维护国家利益。现在倒好，阿里云享受着别人提交过来的漏洞，自己发现了却闷不做声，偷偷提交给了美国的阿帕奇基金会。

网络安全，有时候比的就是速度。安全信息的传递，应该是分秒必争的。晚一秒，国内的重要服务器说不定就会被攻陷。

工信部12月9日通过公开渠道了解了这一漏洞之后，全国的程序员正准备欢度周末，结果都被喊来彻夜加班打补丁，问题是我们比美国晚了整整15天。

15天的时间，美国情报部门不知道在我们国内重要的服务器上逛多少圈了，拷贝了多少信息，安装了多少非法程序。

美国方面可能也会很生气，阿里云发现了这个漏洞，等于作废了一个网络武器。所以阿里云此举两头不讨好。