从开发者角度看这是一个程序员的正常操作,发现开源项目的漏洞 肯定先提issue,待开发者自己核实,不可能去报警,与其质疑这个,为什么不质疑为什么大家要用三个外国人写的代码呢?
阿里云的合规风控人员,绝壁不熟悉高危漏洞上报流程。工信部的处罚,也是依据上报流程。
这个漏洞,一旦遭坏人应用,可是涉及到国家信息安全。如此事件,阿里云这么轻率处理,或许有我们不知道的内情。
程序员的常规操作没有错,错在公司没有建立上报的制度和流程。公司的错误,不应该让普通员工来承担。
公司治理有一定缺陷,领导白嫖了工信部合作单位的荣誉,实际上没当回事儿,现在被反噬。
首先要有合规意识、及完善的合规机制。阿里在技术方面已经发展到相当高的水平,但在合规等运营方面,还需要提高水平,要向国际高水平看齐。工信部的处罚,是个警示。
安全漏洞不是一个纯技术问题,它也涉及非常敏感的国家安全问题。前几年英特尔的bug 问题的分享披露过程,后来曾被美国国会追查,因为某中国公司在第一时间得到信息分享。
感觉上,阿里把这个bug,简单地当作了一个技术问题。整个事情似乎只是程序员在主导。
既然是工信部网络安全的合作单位,发现安全漏洞当然是要第一时间上报工信部的,否则工信部跟它合作的意义在哪儿?
Copyright 2021 ubaike.cn闽ICP备08105781号-2闽公网安备35011102350481号声明:本网站为非官方的公示信息查询平台 联系我们:golden123win@hotmail.com
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=160116194',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','https://cdn.ubaike.cn/img/nlogo.png', '推荐 小幸运123 的问题《如何看待这次阿里云未及时上报高危漏洞的事件?》','https://www.ubaike.cn/q_13989.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
从开发者角度看这是一个程序员的正常操作,发现开源项目的漏洞 肯定先提issue,待开发者自己核实,不可能去报警,与其质疑这个,为什么不质疑为什么大家要用三个外国人写的代码呢?
阿里云的合规风控人员,绝壁不熟悉高危漏洞上报流程。工信部的处罚,也是依据上报流程。
这个漏洞,一旦遭坏人应用,可是涉及到国家信息安全。如此事件,阿里云这么轻率处理,或许有我们不知道的内情。
程序员的常规操作没有错,错在公司没有建立上报的制度和流程。公司的错误,不应该让普通员工来承担。
公司治理有一定缺陷,领导白嫖了工信部合作单位的荣誉,实际上没当回事儿,现在被反噬。
首先要有合规意识、及完善的合规机制。阿里在技术方面已经发展到相当高的水平,但在合规等运营方面,还需要提高水平,要向国际高水平看齐。工信部的处罚,是个警示。
安全漏洞不是一个纯技术问题,它也涉及非常敏感的国家安全问题。前几年英特尔的bug 问题的分享披露过程,后来曾被美国国会追查,因为某中国公司在第一时间得到信息分享。
感觉上,阿里把这个bug,简单地当作了一个技术问题。整个事情似乎只是程序员在主导。
既然是工信部网络安全的合作单位,发现安全漏洞当然是要第一时间上报工信部的,否则工信部跟它合作的意义在哪儿?