未即时报告安全漏洞 阿里云遭大陆官方暂停合作资格

未即时报告安全漏洞 阿里云遭大陆官方暂停合作资格。 （澎湃新闻）

大陆澎湃新闻22日报导，有媒体报称，大陆国务院工信部网路安全管理局通报指出，阿里云发现严重安全隐患后未及时报告，未有效支撑工信部开展网路安全威胁和漏洞管理，暂停阿里云公司作为工信部网路安全威胁资讯共用平台合作单位6个月。

澎湃新闻报导，上述通报22日并未在大陆工信部网路安全管理局官网查到。接近工信部人士说，该消息属实。但阿里云方面暂无回应。

据工业和资讯化部网路安全管理局12月17日发布的关于阿帕奇Log4j2元件重大安全性漏洞的网路安全风险提示，阿帕奇（Apache）Log4j2元件是基于Java语言的开源日志框架，被广泛用于业务系统开发。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远端代码执行漏洞，并将漏洞情况告知阿帕奇软体基金会。

风险提示指出，2021年12月9日，工业和资讯化部网路安全威胁和漏洞资讯共用平台收到有关网路安全专业机构报告，阿帕奇Log4j2元件存在严重安全性漏洞。工业和资讯化部立即组织有关网路安全专业机构开展漏洞风险分析，召集阿里云、网路安全企业、网路安全专业机构等开展研判，通报督促阿帕奇软体基金会及时修补该漏洞，向行业单位进行风险预警。

该漏洞可能导致设备远端受控，进而引发敏感资讯窃取、设备服务中断等严重危害，属于高危漏洞。为降低网路安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2元件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2元件使用情况，及时升级元件版本。

在风险提示中，工业和资讯化部网路安全管理局表示，将持续组织开展漏洞处置工作，防范网路产品安全性漏洞风险，维护公共互联网网路安全。

大陆工信部官网消息，今年9月1日，工业和资讯化部网路安全威胁和漏洞资讯共用平台正式上线运行。其中提到，根据《网路产品安全性漏洞管理规定》，网路产品提供者应当及时向平台报送相关漏洞资讯，鼓励漏洞搜集平台和其他发现漏洞的组织或个人向平台报送漏洞资讯。平台包括通用网路产品安全性漏洞专业库（https：／／www.cnvdb.org.cn）、工业控制产品安全性漏洞专业库（https：／／www.cics-vd.org.cn）、移动互联网APP产品安全性漏洞专业库（https：／／cappvd.cstc.org.cn）、车联网产品安全性漏洞专业库（https：／／cavd.org.cn）等，支持开展网路产品安全性漏洞技术评估，督促网路产品提供者及时修补和合理发布自身产品安全性漏洞。平台由大陆中国资讯通信研究院会同国家工业资讯安全发展研究中心、中国软体评测中心、中国汽车技术研究中心等国家网路安全专业机构共同建设。