阿里云因未及时报告安全隐患被暂停网络安全信息共享平台合作单位资质。
12月22日,澎湃新闻记者从接近工信部人士处获悉,因未及时报告严重安全隐患,阿里云公司被暂停作为工信部网络安全威胁信息共享平台合作单位6个月。
此前有媒体报道,近期工信部网络安全管理局通报称,阿里云发现严重安全隐患后未及时报告,未有效支撑工信部开展网络安全威胁和漏洞管理,暂停工信部网络安全威胁信息共享平台合作单位资质6个月。
澎湃新闻记者并未在工信部网络安全管理局官网查询到上述通报。截至记者发稿,阿里云方面暂无回应。
阿里云究竟“晚报”了多久,从此前工信部发布的风险提示和外媒报道中可窥探一二。
12月17日,工信部网络安全管理局发布的关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示中指出,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
17日的风险提示指出,12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
12月9日的时间节点,与阿里云官网发布的漏洞公告时间线吻合。阿里云官网显示,12月9日,阿里云安全团队发布 Apache Log4j2 远程代码执行漏洞(CVE-2021-44228) 安全通告。
但多家外媒报道称,该漏洞最早由阿里云的网络安全专家发现,并在11月24日报告给阿帕奇软件基金会,远早于12月9日的时间节点。
根据我国《网络产品安全漏洞管理规定》,网络产品提供者应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
据工信部官网消息,今年9月1日,工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行。其中提到,根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。
平台包括通用网络产品安全漏洞专业库(https://www.cnvdb.org.cn)、工业控制产品安全漏洞专业库(https://www.cics-vd.org.cn)、移动互联网APP产品安全漏洞专业库(https://cappvd.cstc.org.cn)、车联网产品安全漏洞专业库(https://cavd.org.cn)等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。
平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。
请输入验证码