我猜很多人会以为今天要吃薇垭或者王力宏的瓜,其实他那些事属于娱乐圈日常,真没啥好聊的。
最近IT业内发生的一件才是真·大事,主人公阿里巴巴,吃瓜群众各站一边吵翻了天。
因为内容略微有点专业,所以我尽量简化来讲。
大家都知道盖房子吧?开发商盖房不会从制作一块砖头开始,这个逻辑在IT行业也同样适用。
IT行业的砖头是开源组件。
这个月9号,国内IT厂商和安全公司陆续接到通知,一个名叫log4j的开源组件被发现严重漏洞,危害程度堪比2017年永恒之蓝。
码农看到log4j都懂,这玩意隶属于阿帕奇软件基金会,几乎是业内用得最多的一块砖头,没有哪家公司敢说自己完全不涉及。
经过紧急验证后,大家陆续做了应对处理,有些一线员工甚至通宵几个晚上。
事情至此本该画上句号,但神奇的事情突然发生了。
阿里站出来宣布:你们都发现得太晚了,这个漏洞是我第一个发现的,上月24号我就报告给了阿帕奇。
阿里想争第一可以理解,但他这个汇报思路就很清奇了,为啥?
这就好比大家一起喝肥宅快乐水,眼瞅着喝得差不多了,忽然有人说:
第一、你们喝的饮料有毒。
第二、我半个月前就知道有毒。
第三、我偷偷告诉了饮料厂商,但没报警。
于是网上舆论炸裂了。
【站阿里的观点大致如下】
发现漏洞就应该第一时间上报所属的软件基金会和社区,等修复后再对外公布。
如果利益相关,哪怕是发现漏洞人的雇主,也不该被事先通知。
这样才能降低漏洞泄露的风险。
【反对方观点大致如下】
根据今年9月发布的《网络产品安全漏洞管理规定》,发现安全漏洞后必须在2日内上报工信部。
阿里11月24日发现漏洞并向阿帕奇基金会报告,但工信部却拖到12月9日才拿到消息,阿里想啥呢?
一家国内公司,发现事关国家安全的顶级安全漏洞,不及时向国内相关部门报备,而是报告给漏洞所属的基金会,阿里显然违规了,没啥好洗的。
看到这里不知道大家有啥感想?
我觉得正反两方分别代表行规和法规,归根结底这是意识形态之争。
坦白讲,科学无国界,但科学家有国界。
互联网无国界,但公司有国界。
尤其在今年反复强调网络安全、信息安全的档口,哪边轻哪边重,还拎不清就有点。。。
另外,阿帕奇面对顶级漏洞,耽搁半个月才修复,怎么说都有点反常,我给个大问号。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
