阿里云因未及時報告安全隱患被暫停
網絡安全信息共享平臺合作單位資質。
12月22日,澎湃新聞記者從接近
工信部人士處獲悉,因未及時報告嚴重安全隱患,阿里云公司被暫停作為工信部網絡安全威脅信息共享平臺合作單位6個月。
此前有媒體報道,近期工信部網絡安全管理局通報稱,阿里云發現嚴重安全隱患后未及時報告,未有效支撐工信部開展網絡安全威脅和漏洞管理,暫停工信部網絡安全威脅信息共享平臺合作單位資質6個月。
澎湃新聞記者并未在工信部網絡安全管理局官網查詢到上述通報。截至記者發稿,阿里云方面暫無回應。
阿里云究竟“晚報”了多久,從此前工信部發布的風險提示和外媒報道中可窺探一二。
12月17日,工信部網絡安全管理局發布的關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示中指出,阿帕奇(Apache)Log4j2組件是基于Java語言的開源日志框架,被廣泛用于業務系統開發。近日,阿里云計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞,并將漏洞情況告知阿帕奇軟件基金會。
17日的風險提示指出,12月9日,工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告,阿帕奇Log4j2組件存在嚴重安全漏洞。工業和信息化部立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿里云、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。
12月9日的時間節點,與阿里云官網發布的漏洞公告時間線吻合。阿里云官網顯示,12月9日,阿里云安全團隊發布 Apache Log4j2 遠程代碼執行漏洞(CVE-2021-44228) 安全通告。
但多家外媒報道稱,該漏洞最早由阿里云的網絡安全專家發現,并在11月24日報告給阿帕奇軟件基金會,遠早于12月9日的時間節點。
根據我國《網絡產品安全漏洞管理規定》,網絡產品提供者應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。
據工信部官網消息,今年9月1日,工業和信息化部網絡安全威脅和漏洞信息共享平臺正式上線運行。其中提到,根據《網絡產品安全漏洞管理規定》,網絡產品提供者應當及時向平臺報送相關漏洞信息,鼓勵漏洞收集平臺和其他發現漏洞的組織或個人向平臺報送漏洞信息。
平臺包括通用網絡產品安全漏洞專業庫(
HTTPS://www.cnvdb.org.cn)、工業控制產品安全漏洞專業庫(https://www.cics-vd.org.cn)、移動互聯網APP產品安全漏洞專業庫(https://cappvd.cstc.org.cn)、車聯網產品安全漏洞專業庫(https://cavd.org.cn)等,支持開展網絡產品安全漏洞技術評估,督促網絡產品提供者及時修補和合理發布自身產品安全漏洞。
平臺由中國信息通信研究院會同國家工業信息安全發展研究中心、中國軟件評測中心、中國汽車技術研究中心等國家網絡安全專業機構共同建設。
來源丨澎湃新聞
62010402000221
客服1 