最近，阿里云干了一件大好事，却惹怒毛了工信部。

今天（12月22日）爆出消息，工业和信息化部网络安全管理局发出通报称：

阿里云计算有限公司是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

考虑到阿里云在全球云服务市场内名列前三（2020年末数据），具有相当巨大的商业和社会影响力，那么Log4j2漏洞究竟是怎么回事，而该处罚又会造成什么后果？

“史诗级”的Log4j2漏洞

本月9日，互联网上曝出了Apache Log4j2远程代码执行漏洞。

根据曝光说明以及网络安全人员的测试，确信攻击者可利用此漏洞构造特殊的数据请求包，最终触发远程代码执行。

软件从业者一般都清楚，绝大部分的Java应用用的都是Log4j的包记录日志，而很多互联网公司用的是Log4j2。据“白帽”分析确认，几乎所有技术巨头如百度等都是该 Log4j 远程代码执行漏洞的受害者。

该漏洞原理官方表述是：Apache Log4j2 中存在JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。

国外网友对该漏洞的漫画示意，挺传神的

通俗简单的说就是：在打印日志的时候，如果你的日志内容中包含关键词“${” ，攻击者就能将关键字所包含的内容当作变量来替换成任何攻击命令，并且执行。由于Apache Log4j2的某些函数具有递归分析函数，因此攻击者可以直接构造恶意请求来触发远程代码执行漏洞。

国内外“白帽”们一致认为，这是是一个“核弹”级别的安全漏洞。

由于Apache Log4j2是一款开源的Java日志记录工具，大量的业务框架都使用了该组件。故此次漏洞是用于Log4j2提供的 lookup功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。

“牵扯”其中的阿里云

值的讽刺的是，Log4j2漏洞也许早就被个别黑客所利用，但其为网络安全人员所注意到，并遭到曝光一事，却始于中国阿里云安全团队。

上月24日，中国阿里云团队的一名成员向阿帕奇披露了这一漏洞。随后，阿帕奇软件基金会位于奥地利和新西兰的官方计算机应急小组，开始对该漏洞展开追踪，并率先发布了相关问题的全球预警。

后续的分析确认了该漏洞的严重危害，有人资深“白帽”甚至认为， 这一漏洞是“计算机历史上最大的漏洞”，严重程度甚至超过了2017年曾因为勒索程序闹到全球风雨的“永恒之蓝”。所幸，该问题在被黑客“积极利用”并导致风险大规模爆发前，就被及时的发现，并得到了抑制。

应该说，阿里云安全团队在Log4j2漏洞的预警和曝光中，是名声大噪的。然而讽刺的是，其虽然发现了漏洞，却忙于各种其他活动，却未及时向与其展开密切合作的中国工信部，通报相关问题。

工信部、网信办震怒，是有充分理由的。

因为根据此前工信部、国家网信办、公安部三部委联合印发的《网络产品安全漏洞管理规定》，网络产品提供者应当在发现占领大漏洞和缺陷2日，内向工信部报送相关漏洞信息。

而工信部，想必直到社会新闻于12月9日大量涌现，才通过社会媒体了解到如此惊天漏洞存在的。而此时，距阿里云首次发现已经过去15天……

不过，本次给予阿里云的处理，仅仅是“暂停阿里云公司作为上述（工信部）合作单位6个月”，实际不会企业业务构成冲击。且“根据阿里云公司整改情况，研究恢复其上述合作单位”。

板子虽然高高举起，但终归只是轻轻拍了拍做了个意思。一个网络安全团队，率先发现了重大漏洞，将其第一时间捅给全球同行，并联合起来发布预警并给设备打补丁，这当然是一件极大的好事。然而在完成这种工作的同时，国家法律法规，和政府主管部门展开合作的正确流程，仍旧是需要遵守的。

真心希望阿里云等国内互联网企业，不要因为本次处罚雷声大雨点小而有所忽略。业务工作以外，规则和规范意识，同样应该时刻警醒。