某中概捅了马蜂窝(捅到马蜂窝了比喻什么)

我猜很多人会以为今天要吃薇垭或者王力宏的瓜,其实他那些事属于娱乐圈日常,真没啥好聊的。

最近IT业内发生的一件才是真·大事,主人公阿里巴巴,吃瓜群众各站一边吵翻了天。

因为内容略微有点专业,所以我尽量简化来讲。

大家都知道盖房子吧?开发商盖房不会从制作一块砖头开始,这个逻辑在IT行业也同样适用。

IT行业的砖头是开源组件。

这个月9号,国内IT厂商和安全公司陆续接到通知,一个名叫log4j的开源组件被发现严重漏洞,危害程度堪比2017年永恒之蓝

码农看到log4j都懂,这玩意隶属于阿帕奇软件基金会,几乎是业内用得最多的一块砖头,没有哪家公司敢说自己完全不涉及。

经过紧急验证后,大家陆续做了应对处理,有些一线员工甚至通宵几个晚上。

事情至此本该画上句号,但神奇的事情突然发生了。

阿里站出来宣布:你们都发现得太晚了,这个漏洞是我第一个发现的,上月24号我就报告给了阿帕奇。

阿里想争第一可以理解,但他这个汇报思路就很清奇了,为啥?

这就好比大家一起喝肥宅快乐水,眼瞅着喝得差不多了,忽然有人说:

第一、你们喝的饮料有毒。

第二、我半个月前就知道有毒。

第三、我偷偷告诉了饮料厂商,但没报警。

于是网上舆论炸裂了。

【站阿里的观点大致如下】

发现漏洞就应该第一时间上报所属的软件基金会和社区,等修复后再对外公布。

如果利益相关,哪怕是发现漏洞人的雇主,也不该被事先通知。

这样才能降低漏洞泄露的风险。

【反对方观点大致如下】

根据今年9月发布的《网络产品安全漏洞管理规定》,发现安全漏洞后必须在2日内上报工信部。

阿里11月24日发现漏洞并向阿帕奇基金会报告,但工信部却拖到12月9日才拿到消息,阿里想啥呢?

一家国内公司,发现事关国家安全的顶级安全漏洞,不及时向国内相关部门报备,而是报告给漏洞所属的基金会,阿里显然违规了,没啥好洗的。

看到这里不知道大家有啥感想?

我觉得正反两方分别代表行规和法规,归根结底这是意识形态之争。

坦白讲,科学无国界,但科学家有国界。

互联网无国界,但公司有国界。

尤其在今年反复强调网络安全、信息安全的档口,哪边轻哪边重,还拎不清就有点。。。

另外,阿帕奇面对顶级漏洞,耽搁半个月才修复,怎么说都有点反常,我给个大问号。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2024年4月22日 下午4:30
下一篇 2024年4月22日 下午4:41

相关推荐