Log4Shell 漏洞近日在科技界鬧得沸沸揚揚, IT 人員忙著修補,擔心被黑客有機可乘騎劫系統。不過,最初發現這個漏洞的阿里雲,沒有因此而得到讚賞,卻被中國工業和信息化部(工信部)以「未及時向電訊主管部門報告」為由處罰,暫停該公司作為工信部網絡安全威脅信息共享平台合作單位 6 個月。
據報道,阿里雲保安團隊是在 11 月 24 日向 Apache 基金會通報 Log4Shell 漏洞。按一般業界做法,發現者會先通報管理有關程式的開發者,以便開發者有時間開發修補程式,並封鎖消息 99 日,避免黑客利用有關漏洞入侵系統。消息封鎖期後無論開發者有沒有處理問題都會公諸於世,讓大家有所防範。
惟工信部認為阿里雲應該為國家著想,一開始就要向主管通信的部門通報,總果被處罰。