昨天,阿里云因为未依法及时向工信部报告发现的安全漏洞信息,被工信部决定暂停6个月阿里云的工信部网络安全威胁信息共享平台合作单位。
随即,阿里美股暴跌4.21%,预计接下来还将继续下跌。
就在今天,阿里云发布说明,表示将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险规范工作。
事情发生后,已经有很多人写了些文章,小镇也看到朋友转发的,具体不点名了,多数还是老一套,就喜欢用流量思维动辄把一件事上升到危害国家安全、中美对抗、中国网络安全裸奔等等。
这并不符合实际,小镇还是希望给关注小镇的朋友一些真实情况,今天也专门跟工信部、阿里还有程序员朋友了解了下,尽可能还原真实情况,找出问题根源,而不是仅仅发泄情绪。
首先,阿里云确实做错了,但不要过度夸张,更不要急着喊打喊杀。
云计算对人类发展非常重要。相比传统的分散式,云计算大大降低了成本、扩展性极强,由于设备在云端,大大提高了整个信息系统的可靠性和稳定性,避免因为服务器发生故障导致的损失,而且可以不断保持更新升级,大大增加了工作的流动性。
因此,云计算带来的种种变化是革命性的,也因此成为大国之争的关键领域之一,当然说白了还是中美两国。
在云计算领域,世界前五大云计算厂商,美国3个中国2个,只不过美国占据第一、第二的实力近乎压倒性的,尤其是第一的亚马逊,2020年的时候全球市场份额超过40%,第二的微软市场占比也达到了19.7%,然后就是阿里云,全球占比9.5%,华为云位居第五,全球占比4.2%,整体同第四的谷歌云接近。
从整体规模上,2020年美国3大厂商全球市场占比高达66.6%,中国两大厂商是13.7%,其他一切企业加起来占19.7%。
力量对比很明显,也正说明数字经济时代,中美已经成为了唯二的角逐者,在其他各领域也都类似。
站在国家的角度,阿里云和华为云都是中国的企业。纵然它们有些这样那样的缺点,可只要不是跟某些企业那样无可救药、不思进取地沉迷于赚快钱,肯定还是要支持的,毕竟这是自家的高科技竞争力。
当然,错了还是要敲打下、教训下,但这就是小惩大戒。
小惩大戒的前提确实是没造成多大危害,这就要回到这件事本身。
第二:从技术角度,阿里云程序员的做法没什么问题。
必须强调一件事,阿帕奇基金会绝不是某些自媒体渲染的是一个多么“邪恶”的外国势力,实际上这就是一个管理开源软件项目的非营利组织,这次出问题的log4j项目是阿帕奇基金会下一个开源项目。
在程序员的世界里,开放始终是互联网世界的底色,全人类在虚拟世界面临的许多共同问题,需要凝聚所有程序员的力量共同解决,于是就有了各种开源项目。
各开源项目的程序员来自全世界,阿帕奇基金会只是作为开源项目的管理方,并不参与具体的代码开发。既然项目是开源的,源代码向全世界公开,程序员又来自全世界,所以从根本上就不存在美国政府通过种种手段胁迫阿帕奇基金会的情况,更不可能去要求这家基金会或者开源项目隐藏漏洞,从而让美国人任意妄为。
道理很简单。
开源的基本就是源代码向全世界开放,任何人都可以通过阅读源代码进行操作或者开发,换言之,只要一个水平过关的程序员,通过认真阅读源代码,就完全可以发现这个号称核弹级别的log4j漏洞。
log4j作为一个开源的日志组件,本来就是免费的,按照开源协议,发现漏洞后本就是需要报告到作为开源项目管理方的阿帕奇基金会,在此之前也要求不能泄露给任何第三方,避免漏洞被利用。
这也是为什么我们国家要求发现之后2日内报告,而没有要求必须第一时间优先报告,也有这方面的考虑。
而上报的漏洞,也已经同步更新在开源社区,按照常规,各国、大企业还有很多程序员都会紧跟技术发展,登录这类开源社区进行查看、学习是日常习惯,正常来说,一般在漏洞上报后一两天,就能够发现这件事,并且开始处理。
分散在各公司的程序员们并不是只有当接收到工信部要求后才开始填补漏洞,他们的工作本身就要求迅速反应。
当然这里面有一个疏漏点,就是可能有的机构需要等工信部这类官方下令才会进行处理,又或者有的机构的程序员缺少主动工作的动力,一些领导者也可能不懂甚至漠视风险。
但是仅仅从程序员本身,优先向开源项目管理方报告没什么错,换成别的国家、别的公司,也都大致如此处理。
只不过这次有三个非常不同的点:
第一:发现者是阿里云,是一个大平台,而且正处于加大监管的大环境下;
第二:发现的log4j漏洞确实太离谱;
第三:上报15天后,阿里云仍然没有主动上报,国内竟然没有人发现并且补位上报,以至于等第四方国家吵起来才知道,结果这时候发现,竟然是中国人第一个发现。
种种原因叠加,也就有了工信部对阿里云的惩罚。
第三:阿里云错在内部管理和沟通
在互联网大公司,由于组织庞大,内部沟通常常出现问题,内耗极为严重,有的大平台,内部机构复杂到内部人都搞不明白,更别说协同了。
各部门也存在诸多不同或者说优劣势。
技术和安全部门,技术水平自然不错,但是往往疏于对政策的关注,大量存在俗称的“技术男(女)”,就想着解决问题。当然也可以说政治意识、斗争意识不足,可是对技术人员来说,专注于技术并不是错。
而负责对接政府的政府事务或者公共事务部门,基本上技术肯定是不懂的,多数人对政策也了解不怎么样,别看很多本来就是公务员,有的在中央部委干到处级,但认知水平其实也就那样。
这些人去了企业,往往就是通过自己在体制内呆久了、认识些人,在公司和政府之间来回要挟,有过就躲、有功就抢,拿着政府要求逼迫业务和技术部门,拿着平台资源去找政府等等;还有的在公司里成长起来的,连对体制的感觉也比较缺乏。
对于政策的关注、学习、理解,无论在哪里都是稀缺的,哪怕靠这个吃饭的大厂政府工作人员。
当然一般情况下,经常做政府事务工作的,还是有一定敏锐性,如果接到技术部门的通报,多半还是会及时上报,但假如没有形成一套完整、动态调整的机制呢。
比如:及时跟进解读政策变化,将政策变化与公司内部相关部门同步,对应调整信息同步流程和内容等等,这样的机制基本是欠缺的。
这里面有组织太大、政策跟进不及时、内部跨部门沟通困难甚至还有些个人的问题等等。
说这些,是尽可能深入的剖析下这么一个离谱的错误是怎么发生的,并非很多自媒体渲染的,阿里“卖国”等等。这其实就是种种机缘巧合之下叠加大组织病导致的。当然,其中也存在意识不足的问题。
说这些不是为了给阿里云脱责,仅仅是提醒更多的企业好好想想如何解决。
有的公司想出了不是办法的办法,比如某大平台要求所有员工,不分职责,对于安全监管问题人人有责、人人补位,虽然导致工作量大增,但起码也是个应急的办法,所以这家公司就明显少出现很多问题,股价也稳得多。
对于阿里,当然是要敲打的,一家如此大的平台,享受了中国巨大的发展红利和政策优待,就理应担负起与能力对应的责任,无论什么理由,责任没有尽到就是问题,就要罚。
就算是技术人员,遇到问题后也肯定上报了技术主管,技术主管有没有上报?
我国也要求上了规模的公司要成立信息安全机构,由公司高层直接负责,这些问题理应上报到负责信息安全的高层,这里面出现了什么问题?
当然,阿里也付出了代价,整个阿里集团核心业务实际就是三驾马车:电商、金融和阿里云为首的科技产业。
金融不说了,电商今年受到严重冲击,头部主播被严查还将面临一系列的税收问题,本来今年阿里股价已经跌掉了三分之二,剩下的三分之一就是靠着阿里云这样的支柱撑着。
现在被工信部暂停6个月的合作伙伴资格,必然会影响到国内很多机构同阿里云的合作,业绩受挫是必然的了。
所以就出现了昨晚阿里美股暴跌,损失不可谓不惨重。
最后,还是要说一句:
阿里确实有错,但错不致死,毕竟还是中国自家的高科技竞争力,罚就罚了,没必要上纲上线,更不能干出来亲者痛、仇者快的事,如果中国云计算两大支柱之一受重创,占便宜的只有美国。
小惩大戒,以观后效就好了。
阿里作为一家扎根中国的企业,不会真的不明白应该怎么做,相信一定会积极整改。但是也得提醒很多企业,千万不要轻视组织内部的沟通问题,安全更是红线,否则阿里云就是前车之鉴。