视频在上面,如果看不了自己想办法。
引来了一些不是很友好的评论,我也做了相对认真的回复。
现在将评论和我的部分回复贴在这里,大家可以一起看看:
评论1:
网络产品安全漏洞管理规定 第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
评论2:
阿里第一时间上报Apache没有错,因为《网络安全漏洞管理规定》也要求了,应当立即通知相关产品提供者。
但《规定》也同时要求2日内向工信部的平台报告。阿里没有做到,然后它被暂停平台合作方资格六个月。请问有什么问题,程序员通病就是信任社区超过信任国家吗??
其他网友回复:
阿里从来就没有上报过国家漏洞共享平台,我天天都看那个平台,最近她的更新都普遍滞后,不是企业的问题,而是平台的管理出了问题。
我对该平台也非常不满。早就非常不满。 网友回复: 呵呵,圈外人啥都不懂就少说两句。
你说的那规定几个月前才刚出,你知道为啥大厂都不太想鸟它么?那个平台是找的一个外包团队做的,管理的乱七八糟,一半的时间平台官网都打不开,漏洞信息查询的接口10次请求有5次超时。
更可怕的是它的信息保密流程,说的难听点,跟筛子一样。
今天你提上去漏洞,明天就会被人爬的扩散到全网皆知,2天内上报,这时候离log4j作者给出官方修复还有半个月,这半个月就是全球黑客的狂欢,你以为到时候中国受到的攻击是更多还是更少?
有意思的还在后头呢,到时候全球软件和互联网遭受巨大损失,这个锅你觉得以欧美一贯的尿性,是怪在log4j那可怜的作者身上,还是甩在阿里云甚至中国的IT企业身上?
闭着眼都能猜出来,到时候整个开源社区,全球的IT公司都会排挤、歧视中国的IT企业。
我的回复:
系统做的好不好,那是能力问题。能够给出相关的规定,这算是一种进步吧。
说程序员有什么通病,信任社区,不信任国家,这个就过分了。
不论是国家,还是社区,作为一个组织,都需要努力去赢得大家的信任,不论是不是程序员,都会去信任那些值得信任的组织。
每个有独立思考能力的人,都会去判断应该信任谁。
没有哪个组织,天生就必须被信任的,不论是谁。
评论3:
这件事情的真相和事实都不是现在媒体报道的那样,但大部分媒体报道被有意带方向带节奏。
由于油管禁止就此新闻做深入评论,我之前在这里的留言已经被删除,无法详细深入讨论,希望真正关心国家和企业的媒体评良心报道,多调查多搜证,不要人云亦云,尽量避免被有心人和境外平台故意误导了。
说这个漏洞是史上最大完全不符合事实,根本是不懂装懂,或是没见过世面。随便举几个漏洞,都比这个仅仅涉及Java的漏洞要大,比如OpenSSL的“心脏滴血”漏洞,比如Bash的Shellshock漏洞,各个方面的影响都远远大于这个漏洞,更不用说英特尔的CPU芯片的边信道漏洞,当年几乎瘫痪了整个地球的所有电脑系统呢。
这件事,阿里有错,政府更有错,大家都必须公平公开讨论,不能一棍子打死就完事。
这个软件及其变体软件是比较广泛使用,但它的用途本身就有限,而且仅Java平台收影响,影响范围非常小非常小。至于提权,当然是提到ROOT权限,但那个漏洞不是提到ROOT权限的呢?
阿里不向国家漏洞平台汇报,不是今天的问题,是从来就不汇报,早该处理了,阿里错,必须改。
国家漏洞平台的管理也有待改善。
油管经常删帖,根本无法深入讨论,它们是故意这样的,目的是带方向带节奏,故意毒害中文网络空间。
我的回复:
非常感谢您提供不同视角的信息。
Log4J2是一个相当严重的漏洞,至于是不是最严重的,我觉得没有讨论的必要。
就像是现在我们也没有必要讨论新冠是不是有史以来危害性最大的病毒一样。
我有几个疑问:
1、阿里既然以前一直不守规矩,为什么这一次被罚了?
2、除了阿里之外,是不是还有其他公司也不守规矩?是只有阿里被罚了,还是都被罚了?
3、阿里这次向Apache基金会汇报漏洞,本身是一个好事,工信部是有奖有罚,还是只有处罚?
4、工信部选择在这个时机,利用这个借口来处罚阿里,背后有什么想要表达的意思呢?
在一个严格立法、普遍违法、选择执法的社会,为什么被执法,并不重要。关键在于选择,工信部在这个时间点选择了阿里来执法,这是工信部的最大权利,选择权。
最后,我还是要表示感谢。只要是心平气和的提出不同的观点,我都是欢迎的。
在我的频道的很多视频中,我都会说,我并不了解具体的情况,希望大家补充,我说得东西未必完整和正确。
有一点我要强调,就是这里没有唯一正确的结论,也不欢迎唯一正确的结果。如果你想要追求唯一正确的结果,可以回墙内媒体上去发言。 我并不是一定要说服谁,你也未必就能够说服我。但我希望能够看到不同的观点在理性的碰撞和交流。
另外,关于YouTube吞掉评论的问题,我也发现了。很多朋友的评论都会被吞掉,但作为一个技术人员,你应该理性的利用逻辑思维来分析原因,而不是阴谋论。
根据我的观察,有几种情况评论会被吞掉:
1、说脏话,使用攻击性语言。我还专门去待审核区找了一下,没有看到你的评论。我会定期去把待审核区里面的评论,不太过分的统统都通过。
2、有广告嫌疑的,比如带有链接或youtube其他博主的名字,youtube是一个广告系统,他们很讨厌那些去试图影响排序算法的东西,这些评论会被直接丢掉,我也找不回来。
3、IP地址被标记为不友好的。翻墙出去的IP,总是发一些youtube不喜欢的内容,youtube就会标记这个IP,会对其进行更严格的审核,并直接丢掉他们不喜欢的内容。
4、网络环境不是很稳定的,我一个订阅者在英国,使用卫星网络,他的评论就经常丢失,原因是他的网络质量不好,经常在提交的过程中掉线,这就是天灾人祸了。翻墙的用户,遇到网络不稳定的情况也是很多的。
5、特别长的评论,有时候也会丢失。这条评论,我刚刚发了一次了,直接丢掉了。所以我找了个编辑器重新输入一次,希望这次你可以看到。
欢迎过来讨论,提供你的观点。但记住要心平气和,也不需要指责我的专业性,我就是个坎山讲故事的,并不是专家。
Both comments and pings are currently closed.