硕鼠的博客站

范路的博客主站,时而会发些东西。

我的博客站又双叒活过来了。

我现在主要是在YouTube上发视频,在博客站以后作为一个视频讨论、留言沉淀的地方。

昨天,在和很多人就阿里云被罚一事在youtube留言上讨论了之后,发了新的视频。

我在视频中提到的在评论区,和我有不同观点的朋友,也将他的回复进行了总结,非常完善,贴在这里供希望了解此事来龙去脉的人参考。

我对于这位朋友提供的事实过程基本认同,但是他的一些观点,我还是有不同看法的,后面也会贴上我的回复。

这位朋友起了一个非常个性化的很长的签名:打美狗-推翻壓在香港人頭上的三座大山-地產霸權和深層政府及外國代理人

他的回复如下:

我将我的留言也整理了一下,放在这里吧,希望大家别介意:就事论事,阿里没有违法,阿里不是软件开发方,阿里是软件应用方,没有披露义务。阿里向软件开发方APACHE提交漏洞,是apache才有责任披露漏洞。

这件事情的真相和事实都不是现在媒体报道的那样,但大部分媒体报道被有意带方向带节奏,希望真正关心国家的人留意。由于油管禁止就此新闻做深入评论,我之前留言已经被删除,无法详细深入讨论,希望真正关心国家和企业的媒体评良心报道,多调查多搜证,不要人云亦云,尽量避免被有心人和境外平台故意误导了。说这个漏洞是史上最大完全不符合事实,根本是不懂装懂或是没见过世面。随便举几个漏洞,都比这个仅仅涉及Java的漏洞要大,比如OpenSSL的“心脏滴血”漏洞,比如Bash的Shellshock漏洞,各个方面的影响都远远大于这个漏洞,更不用说英特尔的CPU芯片的边信道漏洞,当年几乎瘫痪了整个地球的所有电脑系统呢。这事情阿里云方面有错,国家平台方面也有错,但我们坚持公平公开透明方式处理,还有机会亡羊补牢,变害为利。

大家冷静下来看看事情本质。(1)阿里发现漏洞后首先通报软件开发方apache,是符合开源软件协议和精神的,是企业履行责任和义务的必要之举,不能上纲上线说阿里叛国。(2)这个漏洞性质严重但影响不算特别大,主要是设备的开发方必须及时更新,阿里云服务方面未必有直接影响,攻击阿里云服务的必须有更多举证;(3)国家漏洞共享平台已经运作4~5年了,但更新滞后,响应的国内企业不多,平台和企业双方都有问题,各自都要检讨;(4)工信部新规定必须遵守,阿里不遵守被抓包,必须严肃检讨迅速改正,但不要上纲上线,实事求是就好;(5)国内企业只有联想,华为,小米,TCL等国际化市场化程度比较高的企业,建立了标准的漏洞处理机制,希望国家和企业借这次事件,各自检讨改进,平台方面要做好接口管理方便企业上报漏洞,企业方面要按国家要求建立漏洞汇报标准,在国家遭受外敌围堵打压的时刻,应该以保障国家利益为优先。(6)即使国外,漏洞披露也多数是软件方先披露,再由官方收集。事实上美国官方的漏洞公布是分级的,即使软件方已经披露了详细漏洞代码,官方平台依然按级别公布的,它们一般先公布漏洞名称,隐藏细节,通知浏览者去软件方的漏洞平台寻找更新方法,大概一周之后才会完全开放漏洞。我国目前稍有不同,开发商很少公布漏洞,反而民间有比较多漏洞分享平台,这些平台通过奖励,才能收集白帽提交漏洞,这是国家漏洞共享平台少人使用的现实之一。如果现在一棍子打死,估计首先遭殃的是民间的漏洞分享平台,国内白帽更没有兴趣提交漏洞,谁愿意白做?是不是?

阿里软件大量使用开源平台,遵守开源协议是企业生存的根基,国家规范也要顾及我们的现状,过分脱离现实会令企业的生存失去根基,恐怕终将得不偿失。应该循序渐进,一步一步改进,随时检讨不足,否则我们打不赢美国的。Apache是开源软件,阿里是将其发现的漏洞上报Apache,并不是上报美国的漏洞管理平台,最后是由Apache上报美国的漏洞管理平台的,我们指责别人之前,还是多了解一下事件发生的过程和本质比较好。另外,作为软件最终开发商,Apache有没有责任上报我国漏洞管理平台呢?apache汇报了美国的平台,但没有汇报我国的漏洞管理平台,这种涉外管理应该怎么处理,也必须考虑。再次强调,阿里云只是apache相关软件的终端用户,即使阿里云服务有使用该软件,性质上阿里也是受害者而不是加害者,至少严格按法律规定的话,是apache才是有汇报漏洞责任的。

单单就这个漏洞,是否影响阿里云服务尚未知,所以指责阿里的还必须举证。为什么这么说呢?因为这个漏洞影响最大的是物联网设备,这些设备很多用了这个软件来收集信息。阿里云深度参与我国企业的工业智能化系统,这些物联网系统肯定受漏洞影响,但未必一定跟阿里云有关。就事论事,如果我是律师,我会从这方面替阿里云辩护,当然从技术角度看,还是必须按标准汇报并修补漏洞。阿里事件是一个样板,警醒国内企业,必须迅速按国家标准,建立漏洞汇报机制。如果这样做,就这有利于提升我国互联网技术水平,有利于提升我国互联网安全水平,有利于我国互联网人才尤其安全方面的人才培养,也有利于扩大互联网技术人员就业。但如果大家一味上纲上线,为打压而打压,那么就由害无益,就是中了敌人下怀,亲痛仇快了。

我的回复:

感谢兄弟,信息太完整了。

我基本认可你的意见。

有三点不同意见:

1、你的用户签名,最好还是修改一下。人不可以讲自我和你主张的论点捆绑得太紧密,万一哪天,你所主张的论点站不住脚了,你的自我也就不复存在了。很多我频道的订阅者,会因为你的用户名,而不愿意认真的去读你的留言,这对于你和那些没有认真阅读的人来说都是损失。所以建议修改一个中性一些的用户名。

2、不要阴谋论。我不会阴谋论的去看待我国政府和我党的任何政策,也不会去阴谋论的去看到美国政府和youtube。youtube吞掉了你的评论,也吞掉了我的很多评论,这是因为youtube的评论系统不完善。国内的一些规定和平台有问题,那是因为咱们起步得晚,还不完善。要肯定进步的地方,也要看到差距。阴谋论了,就失去了沟通和进步的机会。

3、这次的事情,你已经还原得非常完整了。阿里,有功有过,这是肯定的了。国内无良媒体,故意煽动,那是真心的坏。工信部做出的处罚决定,如果不按阴谋论来看,至少是不够明智的。将阿里云的负责人拎到面前来耳提面命的同时,大力表彰,才是直接站上道德制高点的方法。现在这样,扔出一篇处罚通知来,反而让国内无良媒体利用,真的是不够聪明。

最后,我给你的评论,都是先在编辑器里面编辑好,再发上来的。怕被youtube吞掉。

也许是你过去在其他人的内容后面发表过比较多的攻击性言论,被举报过。你的评论被吞掉的概率就会上升。

 

Both comments and pings are currently closed.

Comments are closed.

Close Bitnami banner
Bitnami