公眾號:大樹鄉長
昨天,阿裏雲因為未依法及時向工信部報告發現的安全漏洞信息,被工信部決定暫停6個月阿裏雲的工信部網絡安全威脅信息***享平臺合作單位。
隨即,阿裏美股暴跌4.21%,預計接下來還將繼續下跌。
就在今天,阿裏雲發布說明,表示將強化漏洞管理、提升合規意識,積極協同各方做好網絡安全風險規範工作。
事情發生後,已經有很多人寫了些文章,小鎮也看到朋友轉發的,具體不點名了,多數還是老壹套,就喜歡用流量思維動輒把壹件事上升到危害國家安全、中美對抗、中國網絡安全裸奔等等。
首先,阿裏雲確實做錯了,但不要過度誇張,更不要急著喊打喊殺。
雲計算對人類發展非常重要。相比傳統的分散式,雲計算大大降低了成本、擴展性極強,由於設備在雲端,大大提高了整個信息系統的可靠性和穩定性,避免因為服務器發生故障導致的損失,而且可以不斷保持更新升級,大大增加了工作的流動性。
因此,雲計算帶來的種種變化是革命性的,也因此成為大國之爭的關鍵領域之壹,當然說白了還是中美兩國。
在雲計算領域,世界前五大雲計算廠商,美國3個中國2個,只不過美國占據第壹、第二的實力近乎壓倒性的,尤其是第壹的亞馬遜,2020年的時候全球市場份額超過40%,第二的微軟市場占比也達到了19.7%,然後就是阿裏雲,全球占比9.5%,華為雲位居第五,全球占比4.2%,整體同第四的谷歌雲接近。
從整體規模上,2020年美國3大廠商全球市場占比高達66.6%,中國兩大廠商是13.7%,其他壹切企業加起來占19.7%。
力量對比很明顯,也正說明數字經濟時代,中美已經成為了唯二的角逐者,在其他各領域也都類似。
站在國家的角度,阿裏雲和華為雲都是中國的企業。縱然它們有些這樣那樣的缺點,可只要不是跟某些企業那樣無可救藥、不思進取地沈迷於賺快錢,肯定還是要支持的,畢竟這是自家的高 科技 競爭力。
當然,錯了還是要敲打下、教訓下,但這就是小懲大戒。
小懲大戒的前提確實是沒造成多大危害,這就要回到這件事本身。
第二:從技術角度,阿裏雲程序員的做法沒什麽問題。
必須強調壹件事,阿帕奇基金會絕不是某些自媒體渲染的是壹個多麽“邪惡”的外國勢力,實際上這就是壹個管理開源軟件項目的非營利組織,這次出問題的log4j項目是阿帕奇基金會下壹個開源項目。
在程序員的世界裏,開放始終是互聯網世界的底色,全人類在虛擬世界面臨的許多***同問題,需要凝聚所有程序員的力量***同解決,於是就有了各種開源項目。
各開源項目的程序員來自全世界,阿帕奇基金會只是作為開源項目的管理方,並不參與具體的代碼開發。既然項目是開源的,源代碼向全世界公開,程序員又來自全世界,所以從根本上就不存在美國政府通過種種手段脅迫阿帕奇基金會的情況,更不可能去要求這家基金會或者開源項目隱藏漏洞,從而讓美國人任意妄為。
道理很簡單。
開源的基本就是源代碼向全世界開放,任何人都可以通過閱讀源代碼進行操作或者開發,換言之,只要壹個水平過關的程序員,通過認真閱讀源代碼,就完全可以發現這個號稱核彈級別的log4j漏洞。
log4j作為壹個開源的日誌組件,本來就是免費的,按照開源協議,發現漏洞後本就是需要報告到作為開源項目管理方的阿帕奇基金會,在此之前也要求不能泄露給任何第三方,避免漏洞被利用。
這也是為什麽我們國家要求發現之後2日內報告,而沒有要求必須第壹時間優先報告,也有這方面的考慮。
而上報的漏洞,也已經同步更新在開源社區,按照常規,各國、大企業還有很多程序員都會緊跟技術發展,登錄這類開源社區進行查看、學習是日常習慣,正常來說,壹般在漏洞上報後壹兩天,就能夠發現這件事,並且開始處理。
分散在各公司的程序員們並不是只有當接收到工信部要求後才開始填補漏洞,他們的工作本身就要求迅速反應。
當然這裏面有壹個疏漏點,就是可能有的機構需要等工信部這類官方下令才會進行處理,又或者有的機構的程序員缺少主動工作的動力,壹些領導者也可能不懂甚至漠視風險。
但是僅僅從程序員本身,優先向開源項目管理方報告沒什麽錯,換成別的國家、別的公司,也都大致如此處理。
只不過這次有三個非常不同的點:
第壹:發現者是阿裏雲,是壹個大平臺,而且正處於加大監管的大環境下;
第二:發現的log4j漏洞確實太離譜;
第三:上報15天後,阿裏雲仍然沒有主動上報,國內竟然沒有人發現並且補位上報,以至於等第四方國家吵起來才知道,結果這時候發現,竟然是中國人第壹個發現。
種種原因疊加,也就有了工信部對阿裏雲的懲罰。
第三:阿裏雲錯在內部管理和溝通
在互聯網大公司,由於組織龐大,內部溝通常常出現問題,內耗極為嚴重,有的大平臺,內部機構復雜到內部人都搞不明白,更別說協同了。
各部門也存在諸多不同或者說優劣勢。
而負責對接政府的政府事務或者公***事務部門,基本上技術肯定是不懂的,多數人對政策也了解不怎麽樣,別看很多本來就是公務員,有的在中央部委幹到處級,但認知水平其實也就那樣。
這些人去了企業,往往就是通過自己在體制內呆久了、認識些人,在公司和政府之間來回要挾,有過就躲、有功就搶,拿著政府要求逼迫業務和技術部門,拿著平臺資源去找政府等等;還有的在公司裏成長起來的,連對體制的感覺也比較缺乏。
當然壹般情況下,經常做政府事務工作的,還是有壹定敏銳性,如果接到技術部門的通報,多半還是會及時上報,但假如沒有形成壹套完整、動態調整的機制呢。
比如:及時跟進解讀政策變化,將政策變化與公司內部相關部門同步,對應調整信息同步流程和內容等等,這樣的機制基本是欠缺的。
這裏面有組織太大、政策跟進不及時、內部跨部門溝通困難甚至還有些個人的問題等等。
說這些,是盡可能深入的剖析下這麽壹個離譜的錯誤是怎麽發生的,並非很多自媒體渲染的,阿裏“賣國”等等。這其實就是種種機緣巧合之下疊加大組織病導致的。當然,其中也存在意識不足的問題。
說這些不是為了給阿裏雲脫責,僅僅是提醒更多的企業好好想想如何解決。
有的公司想出了不是辦法的辦法,比如某大平臺要求所有員工,不分職責,對於安全監管問題人人有責、人人補位,雖然導致工作量大增,但起碼也是個應急的辦法,所以這家公司就明顯少出現很多問題,股價也穩得多。
對於阿裏,當然是要敲打的,壹家如此大的平臺,享受了中國巨大的發展紅利和政策優待,就理應擔負起與能力對應的責任,無論什麽理由,責任沒有盡到就是問題,就要罰。
就算是技術人員,遇到問題後也肯定上報了技術主管,技術主管有沒有上報?
我國也要求上了規模的公司要成立信息安全機構,由公司高層直接負責,這些問題理應上報到負責信息安全的高層,這裏面出現了什麽問題?
當然,阿裏也付出了代價,整個阿裏集團核心業務實際就是三駕馬車:電商、金融和阿裏雲為首的 科技 產業。
金融不說了,電商今年受到嚴重沖擊,頭部主播被嚴查還將面臨壹系列的稅收問題,本來今年阿裏股價已經跌掉了三分之二,剩下的三分之壹就是靠著阿裏雲這樣的支柱撐著。
現在被工信部暫停6個月的合作夥伴資格,必然會影響到國內很多機構同阿裏雲的合作,業績受挫是必然的了。
所以就出現了昨晚阿裏美股暴跌,損失不可謂不慘重。
最後,還是要說壹句:
阿裏確實有錯,但錯不致死,畢竟還是中國自家的高 科技 競爭力,罰就罰了,沒必要上綱上線,更不能幹出來親者痛、仇者快的事,如果中國雲計算兩大支柱之壹受重創,占便宜的只有美國。
小懲大戒,以觀後效就好了。
阿裏作為壹家紮根中國的企業,不會真的不明白應該怎麽做,相信壹定會積極整改。但是也得提醒很多企業,千萬不要輕視組織內部的溝通問題,安全更是紅線,否則阿裏雲就是前車之鑒。