阿里云：早期未意识到Apache log4j2漏洞的严重性将强化漏洞管理

　　球速体育官方（原标题：阿里云：早期未意识到Apache log4j2漏洞的严重性 将强化漏洞管理）

　　Log4j2是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。

　　近日，阿里云一名研发工程师发现Log4j2组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

　　阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

　　12月22日，据21世纪经济报道消息，近期，工信部网络安全管理局通报称，阿里云计算有限公司发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

　　通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

　　12月22日，阿里云被工信部暂停网络安全威胁信息共享平台合作单位6个月的消息引发业内广泛关注。

　　这事缘起于一个月前。当时，阿里云发现阿帕奇Log4j2组件严重安全漏洞后，随即向位于美国的阿帕奇软件基金会通报，但并没有按照规定向中国工信部通报。事发半个月后，中国工信部收到网络安全专业机构的报告，才发现阿帕奇组件存在严重安全漏洞。

　　阿帕奇组件存在的到底是什么漏洞？阿里云没有及时通报会造成什么后果？国内企业在发现网络安全漏洞后应该走什么程序通报？观察者网带着这些问题采访了一些业内人士。

　　漏洞银行联合创始人、CTO张雪松向观察者网指出，Log4j2组件在java类系统中应用极其广泛，漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞，直接造成国内相关机构处于被动地位。

　　关于Log4j组件在计算机网络领域的关键作用，有国外网友用漫画形式做了形象说明。可以看出，如果没有Log4j组件的支撑，所有现代数字基础设施都面临倒塌的危险。

　　此次阿帕奇严重安全漏洞的时间线日，阿里云在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j内，发现重大漏洞Log4Shell，然后向总部位于美国的阿帕奇软件基金会报告。

　　根据公开资料，此次被阿里云安全团队发现漏洞的Apache Log4j2是一款开源的Java日志记录工具，控制Java类系统日志信息生成、打印输出、格式配置等，大量的业务框架都使用了该组件，因此被广泛应用于各种应用程序和网络服务。

　　事实上，国内网络漏洞报送存在清晰流程。业内人士向观察者网介绍，业界通用的漏洞报送流程是，成员单位工业和信息化部网络安全管理局 国家信息安全漏洞共享平台（CNVD）＞CVE中国信息安全测评中心 国家信息安全漏洞库（CNNVD） 国际非盈利组织CVE；非成员单位或个人注册提交CNVD或CNNVD。

　　根据公开资料，CVE（通用漏洞共享披露）是国际非盈利组织，全球通用漏洞共享披露协调企业修复解决安全问题，由于最早由美国发起该漏洞技术委员会，所以组织管理机构主要在美国。而CNVD是中国的信息安全漏洞信息共享平台，由国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。

　　上述业内人士认为，阿里这次因为漏洞影响较大，所以被当做典型通报。在CNVD建立之前以及最近几年，国内安全人员对CVE的共识、认可度和普及程度更高，发现漏洞安全研究人员惯性会提交CVE，虽然最近两年国家建立了CNVD，但普及程度不够，估计阿里安全研究员提交漏洞的时候，认为是个人技术成果的事情，上报国际组织协调修复即可。