原創:鎮長本人
公眾號:大樹鄉長
昨天,阿里雲因為未依法及時向工信部報告發現的安全漏洞資訊,被工信部決定暫停6個月阿里雲的工信部網路安全威脅資訊共享平臺合作單位。
隨即,阿里美股暴跌4.21%,預計接下來還將繼續下跌。
就在今天,阿里雲釋出說明,表示將強化漏洞管理、提升合規意識,積極協同各方做好網路安全風險規範工作。
事情發生後,已經有很多人寫了些文章,小鎮也看到朋友轉發的,具體不點名了,多數還是老一套,就喜歡用流量思維動輒把一件事上升到危害國家安全、中美對抗、中國網路安全裸奔等等。
這並不符合實際,小鎮還是希望給關注小鎮的朋友一些真實情況,今天也專門跟工信部、阿里還有程式設計師朋友瞭解了下,儘可能還原真實情況,找出問題根源,而不是僅僅發洩情緒。
首先,阿里雲確實做錯了,但不要過度誇張,更不要急著喊打喊殺。
雲計算對人類發展非常重要。相比傳統的分散式,雲計算大大降低了成本、擴充套件性極強,由於裝置在雲端,大大提高了整個資訊系統的可靠性和穩定性,避免因為伺服器發生故障導致的損失,而且可以不斷保持更新升級,大大增加了工作的流動性。
因此,雲計算帶來的種種變化是革命性的,也因此成為大國之爭的關鍵領域之一,當然說白了還是中美兩國。
在雲計算領域,世界前五大雲計算廠商,美國3箇中國2個,只不過美國佔據第一、第二的實力近乎壓倒性的,尤其是第一的亞馬遜,2020年的時候全球市場份額超過40%,第二的微軟市場佔比也達到了19.7%,然後就是阿里雲,全球佔比9.5%,華為雲位居第五,全球佔比4.2%,整體同第四的谷歌雲接近。
從整體規模上,2020年美國3大廠商全球市場佔比高達66.6%,中國兩大廠商是13.7%,其他一切企業加起來佔19.7%。
力量對比很明顯,也正說明數字經濟時代,中美已經成為了唯二的角逐者,在其他各領域也都類似。
站在國家的角度,阿里雲和華為雲都是中國的企業。縱然它們有些這樣那樣的缺點,可只要不是跟某些企業那樣無可救藥、不思進取地沉迷於賺快錢,肯定還是要支援的,畢竟這是自家的高科技競爭力。
當然,錯了還是要敲打下、教訓下,但這就是小懲大戒。
小懲大戒的前提確實是沒造成多大危害,這就要回到這件事本身。
第二:從技術角度,阿里雲程式設計師的做法沒什麼問題。
必須強調一件事,阿帕奇基金會絕不是某些自媒體渲染的是一個多麼“邪惡”的外國勢力,實際上這就是一個管理開源軟體專案的非營利組織,這次出問題的log4j專案是阿帕奇基金會下一個開源專案。
在程式設計師的世界裡,開放始終是網際網路世界的底色,全人類在虛擬世介面臨的許多共同問題,需要凝聚所有程式設計師的力量共同解決,於是就有了各種開源專案。
各開源專案的程式設計師來自全世界,阿帕奇基金會只是作為開源專案的管理方,並不參與具體的程式碼開發。既然專案是開源的,原始碼向全世界公開,程式設計師又來自全世界,所以從根本上就不存在美國政府透過種種手段脅迫阿帕奇基金會的情況,更不可能去要求這家基金會或者開源專案隱藏漏洞,從而讓美國人任意妄為。
道理很簡單。
開源的基本就是原始碼向全世界開放,任何人都可以透過閱讀原始碼進行操作或者開發,換言之,只要一個水平過關的程式設計師,透過認真閱讀原始碼,就完全可以發現這個號稱核彈級別的log4j漏洞。
log4j作為一個開源的日誌元件,本來就是免費的,按照開源協議,發現漏洞後本就是需要報告到作為開源專案管理方的阿帕奇基金會,在此之前也要求不能洩露給任何第三方,避免漏洞被利用。
這也是為什麼我們國家要求發現之後2日內報告,而沒有要求必須第一時間優先報告,也有這方面的考慮。
而上報的漏洞,也已經同步更新在開源社群,按照常規,各國、大企業還有很多程式設計師都會緊跟技術發展,登入這類開源社群進行檢視、學習是日常習慣,正常來說,一般在漏洞上報後一兩天,就能夠發現這件事,並且開始處理。
分散在各公司的程式設計師們並不是只有當接收到工信部要求後才開始填補漏洞,他們的工作本身就要求迅速反應。
當然這裡面有一個疏漏點,就是可能有的機構需要等工信部這類官方下令才會進行處理,又或者有的機構的程式設計師缺少主動工作的動力,一些領導者也可能不懂甚至漠視風險。
但是僅僅從程式設計師本身,優先向開源專案管理方報告沒什麼錯,換成別的國家、別的公司,也都大致如此處理。
只不過這次有三個非常不同的點:
第一:發現者是阿里雲,是一個大平臺,而且正處於加大監管的大環境下;
第二:發現的log4j漏洞確實太離譜;
第三:上報15天后,阿里雲仍然沒有主動上報,國內竟然沒有人發現並且補位上報,以至於等第四方國家吵起來才知道,結果這時候發現,竟然是中國人第一個發現。
種種原因疊加,也就有了工信部對阿里雲的懲罰。
第三:阿里雲錯在內部管理和溝通
在網際網路大公司,由於組織龐大,內部溝通常常出現問題,內耗極為嚴重,有的大平臺,內部機構複雜到內部人都搞不明白,更別說協同了。
各部門也存在諸多不同或者說優劣勢。
技術和安全部門,技術水平自然不錯,但是往往疏於對政策的關注,大量存在俗稱的“技術男(女)”,就想著解決問題。當然也可以說政治意識、鬥爭意識不足,可是對技術人員來說,專注於技術並不是錯。
而負責對接政府的政府事務或者公共事務部門,基本上技術肯定是不懂的,多數人對政策也瞭解不怎麼樣,別看很多本來就是公務員,有的在中央部委幹到處級,但認知水平其實也就那樣。
這些人去了企業,往往就是透過自己在體制內呆久了、認識些人,在公司和政府之間來回要挾,有過就躲、有功就搶,拿著政府要求逼迫業務和技術部門,拿著平臺資源去找政府等等;還有的在公司裡成長起來的,連對體制的感覺也比較缺乏。
對於政策的關注、學習、理解,無論在哪裡都是稀缺的,哪怕靠這個吃飯的大廠政府工作人員。
當然一般情況下,經常做政府事務工作的,還是有一定敏銳性,如果接到技術部門的通報,多半還是會及時上報,但假如沒有形成一套完整、動態調整的機制呢。
比如:及時跟進解讀政策變化,將政策變化與公司內部相關部門同步,對應調整資訊同步流程和內容等等,這樣的機制基本是欠缺的。
這裡面有組織太大、政策跟進不及時、內部跨部門溝通困難甚至還有些個人的問題等等。
說這些,是儘可能深入的剖析下這麼一個離譜的錯誤是怎麼發生的,並非很多自媒體渲染的,阿里“賣國”等等。這其實就是種種機緣巧合之下疊加大組織病導致的。當然,其中也存在意識不足的問題。
說這些不是為了給阿里雲脫責,僅僅是提醒更多的企業好好想想如何解決。
有的公司想出了不是辦法的辦法,比如某大平臺要求所有員工,不分職責,對於安全監管問題人人有責、人人補位,雖然導致工作量大增,但起碼也是個應急的辦法,所以這家公司就明顯少出現很多問題,股價也穩得多。
對於阿里,當然是要敲打的,一家如此大的平臺,享受了中國巨大的發展紅利和政策優待,就理應擔負起與能力對應的責任,無論什麼理由,責任沒有盡到就是問題,就要罰。
就算是技術人員,遇到問題後也肯定上報了技術主管,技術主管有沒有上報?
我國也要求上了規模的公司要成立資訊保安機構,由公司高層直接負責,這些問題理應上報到負責資訊保安的高層,這裡面出現了什麼問題?
當然,阿里也付出了代價,整個阿里集團核心業務實際就是三駕馬車:電商、金融和阿里云為首的科技產業。
金融不說了,電商今年受到嚴重衝擊,頭部主播被嚴查還將面臨一系列的稅收問題,本來今年阿里股價已經跌掉了三分之二,剩下的三分之一就是靠著阿里雲這樣的支柱撐著。
現在被工信部暫停6個月的合作伙伴資格,必然會影響到國內很多機構同阿里雲的合作,業績受挫是必然的了。
所以就出現了昨晚阿里美股暴跌,損失不可謂不慘重。
最後,還是要說一句:
阿里確實有錯,但錯不致死,畢竟還是中國自家的高科技競爭力,罰就罰了,沒必要上綱上線,更不能幹出來親者痛、仇者快的事,如果中國雲計算兩大支柱之一受重創,佔便宜的只有美國。
小懲大戒,以觀後效就好了。
阿里作為一家紮根中國的企業,不會真的不明白應該怎麼做,相信一定會積極整改。但是也得提醒很多企業,千萬不要輕視組織內部的溝通問題,安全更是紅線,否則阿里雲就是前車之鑑。
