从开发者角度看这是一个程序员的正常操作,发现开源项目的漏洞 肯定先提issue,待开发者自己核实,不可能去报警,与其质疑这个,为什么不质疑为什么大家要用三个外国人写的代码呢?
阿里云的合规风控人员,绝壁不熟悉高危漏洞上报流程。工信部的处罚,也是依据上报流程。
这个漏洞,一旦遭坏人应用,可是涉及到国家信息安全。如此事件,阿里云这么轻率处理,或许有我们不知道的内情。
程序员的常规操作没有错,错在公司没有建立上报的制度和流程。公司的错误,不应该让普通员工来承担。
公司治理有一定缺陷,领导白嫖了工信部合作单位的荣誉,实际上没当回事儿,现在被反噬。
首先要有合规意识、及完善的合规机制。阿里在技术方面已经发展到相当高的水平,但在合规等运营方面,还需要提高水平,要向国际高水平看齐。工信部的处罚,是个警示。
安全漏洞不是一个纯技术问题,它也涉及非常敏感的国家安全问题。前几年英特尔的bug 问题的分享披露过程,后来曾被美国国会追查,因为某中国公司在第一时间得到信息分享。
感觉上,阿里把这个bug,简单地当作了一个技术问题。整个事情似乎只是程序员在主导。
既然是工信部网络安全的合作单位,发现安全漏洞当然是要第一时间上报工信部的,否则工信部跟它合作的意义在哪儿?
Copyright 2021 ubaike.cn闽ICP备08105781号-2闽公网安备35011102350481号声明:本网站为非官方的公示信息查询平台 联系我们:golden123win@hotmail.com
从开发者角度看这是一个程序员的正常操作,发现开源项目的漏洞 肯定先提issue,待开发者自己核实,不可能去报警,与其质疑这个,为什么不质疑为什么大家要用三个外国人写的代码呢?
阿里云的合规风控人员,绝壁不熟悉高危漏洞上报流程。工信部的处罚,也是依据上报流程。
这个漏洞,一旦遭坏人应用,可是涉及到国家信息安全。如此事件,阿里云这么轻率处理,或许有我们不知道的内情。
程序员的常规操作没有错,错在公司没有建立上报的制度和流程。公司的错误,不应该让普通员工来承担。
公司治理有一定缺陷,领导白嫖了工信部合作单位的荣誉,实际上没当回事儿,现在被反噬。
首先要有合规意识、及完善的合规机制。阿里在技术方面已经发展到相当高的水平,但在合规等运营方面,还需要提高水平,要向国际高水平看齐。工信部的处罚,是个警示。
安全漏洞不是一个纯技术问题,它也涉及非常敏感的国家安全问题。前几年英特尔的bug 问题的分享披露过程,后来曾被美国国会追查,因为某中国公司在第一时间得到信息分享。
感觉上,阿里把这个bug,简单地当作了一个技术问题。整个事情似乎只是程序员在主导。
既然是工信部网络安全的合作单位,发现安全漏洞当然是要第一时间上报工信部的,否则工信部跟它合作的意义在哪儿?