阿裡(lǐ)雲因未及時報告安全隐患被暫停
網絡安全信息共享平台合作(zuò)單位資質。
12月22日(rì),澎湃新聞記者從(cóng)接近
工(gōng)信部人(rén)士處獲悉,因未及時報告嚴重安全隐患,阿裡(lǐ)雲公司被暫停作(zuò)爲工(gōng)信部網絡安全威脅信息共享平台合作(zuò)單位6個月。
此前有媒體(tǐ)報道,近期工(gōng)信部網絡安全管理(lǐ)局通報稱,阿裡(lǐ)雲發現嚴重安全隐患後未及時報告,未有效支撐工(gōng)信部開展網絡安全威脅和漏洞管理(lǐ),暫停工(gōng)信部網絡安全威脅信息共享平台合作(zuò)單位資質6個月。
澎湃新聞記者并未在工(gōng)信部網絡安全管理(lǐ)局官網查詢到上述通報。截至記者發稿,阿裡(lǐ)雲方面暫無回應。
阿裡(lǐ)雲究竟“晚報”了多久,從(cóng)此前工(gōng)信部發布的風(fēng)險提示和外媒報道中可(kě)窺探一二。
12月17日(rì),工(gōng)信部網絡安全管理(lǐ)局發布的關于阿帕奇Log4j2組件(jiàn)重大(dà)安全漏洞的網絡安全風(fēng)險提示中指出,阿帕奇(Apache)Log4j2組件(jiàn)是基于Java語言的開源日(rì)志框架,被廣泛用于業務系統開發。近日(rì),阿裡(lǐ)雲計(jì)算有限公司發現阿帕奇Log4j2組件(jiàn)存在遠(yuǎn)程代碼執行漏洞,并将漏洞情況告知阿帕奇軟件(jiàn)基金會。
17日(rì)的風(fēng)險提示指出,12月9日(rì),工(gōng)業和信息化部網絡安全威脅和漏洞信息共享平台收到有關網絡安全專業機(jī)構報告,阿帕奇Log4j2組件(jiàn)存在嚴重安全漏洞。工(gōng)業和信息化部立即組織有關網絡安全專業機(jī)構開展漏洞風(fēng)險分(fēn)析,召集阿裡(lǐ)雲、網絡安全企業、網絡安全專業機(jī)構等開展研判,通報督促阿帕奇軟件(jiàn)基金會及時修補該漏洞,向行業單位進行風(fēng)險預警。
12月9日(rì)的時間節點,與阿裡(lǐ)雲官網發布的漏洞公告時間線吻合。阿裡(lǐ)雲官網顯示,12月9日(rì),阿裡(lǐ)雲安全團隊發布 Apache Log4j2 遠(yuǎn)程代碼執行漏洞(CVE-2021-44228) 安全通告。
但(dàn)多家外媒報道稱,該漏洞最早由阿裡(lǐ)雲的網絡安全專家發現,并在11月24日(rì)報告給阿帕奇軟件(jiàn)基金會,遠(yuǎn)早于12月9日(rì)的時間節點。
根據我國(guó)《網絡産品安全漏洞管理(lǐ)規定》,網絡産品提供者應當在2日(rì)内向工(gōng)業和信息化部網絡安全威脅和漏洞信息共享平台報送相(xiàng)關漏洞信息。
據工(gōng)信部官網消息,今年(nián)9月1日(rì),工(gōng)業和信息化部網絡安全威脅和漏洞信息共享平台正式上線運行。其中提到,根據《網絡産品安全漏洞管理(lǐ)規定》,網絡産品提供者應當及時向平台報送相(xiàng)關漏洞信息,鼓勵漏洞收集平台和其他(tā)發現漏洞的組織或個人(rén)向平台報送漏洞信息。
平台包括通用網絡産品安全漏洞專業庫(
HTTPS://www.cnvdb.org.cn)、工(gōng)業控制産品安全漏洞專業庫(https://www.cics-vd.org.cn)、移動互聯網APP産品安全漏洞專業庫(https://cappvd.cstc.org.cn)、車聯網産品安全漏洞專業庫(https://cavd.org.cn)等,支持開展網絡産品安全漏洞技術(shù)評估,督促網絡産品提供者及時修補和合理(lǐ)發布自(zì)身(shēn)産品安全漏洞。
平台由中國(guó)信息通信研究院會同國(guó)家工(gōng)業信息安全發展研究中心、中國(guó)軟件(jiàn)評測中心、中國(guó)汽車技術(shù)研究中心等國(guó)家網絡安全專業機(jī)構共同建設。
來(lái)源丨澎湃新聞
客服1 