我的世界|阿里云发现安全漏洞,但没有及时上报工信部( 二 )



我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
至于记录日志,其实是需要一个通用框架去实现的。
毕竟程序员不可能每次开发软件,都额外再搞一个日志记录器吧。
So,借助现成的日志记录框架来做开发,是十分省事省力的方法,也符合程序员“不重复造轮子”的理念。
在Java这边,Log4j就是最出名且使用最广泛的开源日志记录框架。
小到个人开发,大到苹果谷歌微软,在做Java开发时都会用上Log4j。
没办法,虽然人家功能齐全,查起错误来够方便呢。
但是越多人用,Log4Shell漏洞的危害就越大,大伙看完下面这张图估计就懂了。
国内外的互联网大厂所开发的软件,底层都保留了开源的Log4j框架,如果哪天这个框架出了问题,整个软件都会随之坍塌。
这就很好解释了,为啥大厂们遇到这事儿都慌得一批。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
Log4Shell漏洞能如此变态,并不是因为漏洞本身足够复杂,让安全保护机制一头雾水。
相反,它实在TM太容易被触发了,适用范围还贼广,任何软件都可以将其嵌入到底层使用。
不过小雷也确实纳闷,这么开源框架可是全世界都在用的,为啥安全性不搞好点呢?
仔细想想,开发和安全性其实是两回事儿。
作为开源项目,开发和维护Log4j框架压根就不赚钱,开发者都是在工作之余花时间去维护。
我的世界|阿里云发现安全漏洞,但没有及时上报工信部】有时候甚至穷得要在推特上找用户掏钱赞助。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
虽然漏洞被曝出来后,Log4j的几位开发者已经在尽力修复,并推出了最新的修复版本。
但比起大厂们当天就能修复的神级速度,作为官方维护者的它们,速度还算是慢的。
一方面是因为维护人力确实有限,另一方面则是财力上的巨大差距。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
世界上所有伟大的商业软件,都离不开开源软件的支持,就像安卓离不开Linux,iOS离不开FreeBSD。
但回过头来,开源项目也因为没有足够的人力物力,导致使用起来难用和稳定性差。
大厂们虽然也会派员工去参与代码维护,但大多数情况下都是能白嫖就白嫖,反正以大厂的反应能力,出了问题也能光速修复。
商业软件享受了开源代码带来的好处,但出现问题带来的损失和谩骂,几乎是开源项目的维护者在承受。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
再聊回阿里云这次做得不对的地方。
阿里云的安全技术人员在11月就发现了这个漏洞,也确实很快就报告了给apache软件基金会。
这个操作没问题,毕竟Log4j是Apache旗下的开源项目。
但在发现漏洞后,阿里云居然没有尽快向工信部报告,在代码界,漏洞上报的及时性是很重要的。
然而,从阿里云上报漏洞到Apache,到工信部得知漏洞,这中间隔了足足有十几天。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
好家伙,这十几天都足够小雷在网上吃遍今年所有的瓜了。
如果黑客别有用心,利用这漏洞窃取资料造成巨大损失,这算不算是阿里云的锅?
目前阿里云也对这事儿作出看回应,表示是当时没有意识到漏洞的严重性,才导致最终未及时上报。

我的世界|阿里云发现安全漏洞,但没有及时上报工信部
文章插图
不过怎么说,阿里云确实没遵守《网络产品安全漏洞管理规定》,被取消合作伙伴资格6个月的事实也板上钉钉。
希望在这次事件发生后,大厂们都能更加重视开源项目的安全性吧。
总不能只顾着白嫖,不帮开源项目的开发者分担下维护压力呀。