《阿里云Log4j2事件:真相与责任》
在阿里云Log4j2事件曝光后,一些水军试图用“行业惯例”为阿里云开脱。然而,将通知美国阿帕奇视为行业惯例,是对阿里云安全部门的忽视。安全问题不容忽视,阿里云安全部门理应知晓应向中国工信部通报的重要性。以行业惯例为由,企图掩盖安全问题,显然是不负责任的行为。
阿里云作为一家大型企业,其安全部门必然清楚哪些问题需要向国外通报。因此,对于阿里云Log4j2事件,我们必须深入调查:究竟是谁阻止了阿里云安全部门向工信部通报?
此外,美国阿帕奇软件基金会(Apache Software Foundation,简称ASF)仅为一个基金会,并非阿里云的供应商。美国阿帕奇并无立即修复Bug的直接义务。因此,声称阿里云工程师首先通知美国阿帕奇是为了快速修复的说法,纯属无稽之谈。众所周知,美国阿帕奇不可能迅速修复漏洞,而阿里云安全部门必定第一时间得知此消息。
作为工信部的合作伙伴,阿里云安全部门在得知Log4j2漏洞后,为何在长达十几天的时间里未向工信部通报?这才是问题的关键所在。阿里云在采取措施并告知美国阿帕奇后,却对国家隐瞒了这一情况。这绝非疏忽所致,而是受到了某种势力的压制。
那些试图为阿里云洗白的人声称,告知美国阿帕奇是行业惯例,且发现漏洞的工程师并未意识到其严重性。以下是一个形象的比喻:你是一名送餐员,在送餐后发现食物有毒,于是第一时间告知了餐厅。你认为餐厅有责任了解这一情况,并且你认为这种毒素可能不会致命,因此并未及时告知顾客。直到其他顾客发现食物有毒并提醒大家停止食用时,你的顾客才得知真相。请问,这种行为是否合理?
阿里云此次行为的逻辑令人费解,我们期待阿里云的CEO能出面解释。中国人民正密切关注此事,期待真相大白。
