当前位置:首页 > 科技 > 正文

美国Apache基金会并非阿里云的供应商,为何将安全漏洞汇报给它?

在阿里云将安全漏洞通告美国Apache基金之后,一直有一个理解的误区:阿里云是通知了供应商,让供应商解决问题,但美国Apache基金会并非阿里云的供应商。

搞清阿里云与美国Apache的关系:阿里云只是用美国Apache软件,线上服务都是各公司自己的。因此,阿里云通告美国Apache无助于修复漏洞,安全修复还是应该靠自己(包括阿里云、中国各公司)完成。

既然,美国Apache基金会并非阿里云的供应商,阿里云为何将安全漏洞汇报给它?

请问阿里云:看菜谱做菜,糊锅了,难道要先给菜谱提供者报问题?

美国Apache基金会并非阿里云的供应商,为何将安全漏洞汇报给它?  第1张

阿里云发现美国Apache基金会的Log4j2组件严重安全漏洞隐患后,直接将漏洞通告给了美国Apache基金会,这其实无助于漏洞的修复。

事实上,Log4j2只是一个开源软件, 美国Apache基金会并没有从各家使用者收钱,因此根本就不是供应商,只是一个开源软件的非盈利组织。

美国Apache基金会并非阿里云的供应商,为何将安全漏洞汇报给它?  第2张

阿里云发现的Log4j2安全漏洞之后,如果想要修复,显然还是阿里云自己来更换版本,这一切都是自主完成的。美国Apache基金会其实并不能做什么,即便发布了最新的软件,还是要各个公司自己上线。

美国Apache基金会并非阿里云的供应商,为何将安全漏洞汇报给它?  第3张

美国Apache基金会不同于云服务提供商,它不可能直接修复漏洞。阿里云将漏洞信息透露给美国Apache基金会,只能造成安全漏洞扩散的恶果。

美国Apache基金会并非阿里云的供应商,为何将安全漏洞汇报给它?  第4张

从各公司修复Log4j2的漏洞来看,也跟美国Apache基金会关系不大,线上服务都是各公司自己的,替换一个开源软件,跟开源软件的提供者并没有关系。

美国Apache基金会并非阿里云的供应商,为何将安全漏洞汇报给它?  第5张

因此,阿里云将安全漏洞提供给美国Apache基金会,着实不合常理。就好比一个人看着菜谱做菜,然后发现糊锅了,难道要给菜谱提供者报问题?

美国Apache基金会并非阿里云的供应商,为何将安全漏洞汇报给它?  第6张

阿里云向美国Apache的漏洞通告,无助于解决问题,反而是扩散漏洞(而且还瞒着中国方面)。这是真正的糊涂,还是向资本的摇尾乞怜?

有话要说...

推荐阅读