阿里云在“安全漏洞事件”中做错了什么？

阿里云承认了先向开源社区汇报安全漏洞，未及时告知合作平台。

12月23日，阿里云发布关于开源社区阿帕奇（Apache） log4j2漏洞情况的说明称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息，将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

阿里云在情况说明中表示，近日，阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

因未及时报告严重安全隐患，阿里云公司被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。

根据我国《网络产品安全漏洞管理规定》，网络产品提供者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

本次安全漏洞时间及解决方案响应事件如下：

2021年11月24日，阿里云安全团队发现阿帕奇log4j 2远程代码执行漏洞，该组件中某些功能存在递归解析，攻击者可直接构造恶意请求，触发远程代码执行漏洞，并向阿帕奇官方报告了这一漏洞。

12月9日，工信部网络安全管理局通告，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

从漏洞的发现到工信部的获悉，中间有漫长的十五天，作为电信主管部门的工信部才得知这一基于Java生态开源系统中的巨大漏洞。

同日，阿帕奇官方发布Log4j 2.15.0-rc1版本的紧急更新。这意味着，软件厂商经过测试、评估、解决方案的设计等流程，依旧用了十五天时间发布了紧急安全更新。

随后，关于阿帕奇Log4j2组件漏洞的补丁修复问题，引发全球技术领域的热议。

次日，中国国家信息安全漏洞共享平台收录Apache Log4j2远程代码执行漏洞。阿里云在官网公告披露，安全团队发现Apache Log4j 2.15.0-rc1版本存在漏洞绕过，要求用户及时更新版本，并向用户介绍该漏洞的具体背景及相应的修复方案。

12月14日，中国国家信息安全漏洞共享平台发布《Apache Log4j2远程代码执行漏洞排查及修复手册》，供相关单位、企业及个人参考。

12月17日，工信部发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。

12月22日，工信部通报暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。

12月22日，工信部发布《工业和信息化领域数据安全风险信息报送与共享工作指引（试行）（征求意见稿）》。