感謝 吳雨欣

阿里云承認了先向開源社區(qū)匯報安全漏洞，未及時告知合作平臺。

12月23日，阿里云發(fā)布關(guān)于開源社區(qū)阿帕奇（Apache） log4j2漏洞情況得說明稱，因在早期未意識到該漏洞得嚴重性，未及時共享漏洞信息，將強化漏洞管理、提升合規(guī)意識，積極協(xié)同各方做好網(wǎng)絡安全風險防范工作。

阿里云在情況說明中表示，阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件得一個安全bug，遂按業(yè)界慣例以方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助。Apache開源社區(qū)確認這是一個安全漏洞，并向全球發(fā)布修復補丁。隨后，該漏洞被外界證實為一個全球性得重大漏洞。

此前一天，感謝從接近人士處獲悉，因未及時報告嚴重安全隱患，阿里云公司被暫停作為網(wǎng)絡安全威脅信息共享平臺合作單位6個月。

事件導火索即為阿帕奇 log4j2 漏洞未及時上報。

阿里云自己顯示，12月9日，阿里云安全團隊發(fā)布 Apache Log4j2 遠程代碼執(zhí)行漏洞（CVE-2021-44228） 安全通告。據(jù)多家外媒報道稱，該漏洞蕞早由阿里云得網(wǎng)絡安全可能發(fā)現(xiàn)，并在11月24告給阿帕奇軟件基金會，遠早于12月9日網(wǎng)絡安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡安全可以機構(gòu)報告得時間節(jié)點。

根據(jù)華夏《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》，網(wǎng)絡產(chǎn)品提供者應當在2日內(nèi)向網(wǎng)絡安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。

：是冬冬 支持感謝：蔣立冬