阿里雲未「依法」先通報Log4j漏洞給中國政府 遭政府暫停合作半年重罰

上周中國工信部對阿里雲未及時通報Apache Log4j重大漏洞做出懲處，將實施暫停與阿里雲合作6個月的處份。

令全球網管人員疲於應付的Apache Log4j漏洞，是由阿里雲安全實驗室發現，並通報該軟體開發者Apache軟體基金會，後者於12月10日發佈安全公告及更新版Log4j 2.15版。又稱Log4Shell的漏洞　可能攻擊者發動惡意log訊息而在Web服務上遠端執行程式碼，甚至接管系統，被視為近十年來最嚴重漏洞，從微軟、Google、AWS、IBM、到美國國安局都受這個漏洞影響。

媒體報導，中國工業及信息產業部（工信部）認為阿里雲作為網路安全威脅和漏洞信息共享平台的成員，卻未能在第一時間將漏洞通報電信主管機關，未有效支持工信部推動網路安全威脅及漏洞管理的政策。工信部決定暫停和阿里雲參與該信息共享平臺合作6個月。期滿之後根據阿里雲整改情況再研究是否恢復合作。

中國政府今年9月實施的《網路產品安全漏洞管理規定》，要求所有網路產品供應商在發現漏洞後，必須在2天內通報工信部，且不得分享給中國境外除供應商以外的組織及個人。但媒體指出，中國政府「鼓勵」廠商通報別家公司軟體漏洞。外界認為，這等於讓中國政府早一步得知漏洞訊息，且在修補程式釋出以前對目標對象發動零時差攻擊。

一般相信，失去中國政府支持可能對阿里雲營運產生不利影響，若被停止合作實際損失不得而知。阿里雲也是中國推動「互聯網＋先進製造業」的跨行業跨領域工業互聯網平台的合作廠商。

阿里雲本周四（12/23）指出，其團隊一位成員在發現Log4j之後，依據「產業通則」通知Apache軟體基金會及求助，由於他們一開始不知道安全漏洞的嚴重性，因此未能及時分享資訊給政府。阿里雲指出，他們會進一步改善危機管理及法規遵循。

阿里巴巴因禁止其電商平台上的店家在其他平台上開店或促銷的「二選一」規定，有壟斷之嫌，4月遭中國市場監督管理總局裁罰183億人民幣（約台幣800億元），阿里巴巴隨後向中國政府表示感激。

來源：南華早報