首发：[db:标签]��[db:标签]��牛通信（公众号）

今天，阿里掉进一个新的漩涡。

工信部网络安全管理局通报称，阿里云发现阿帕奇（Apache）LOG4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

这个事情其实很好理解，没有网上舆论说得那么多阴谋论。

我们理一理这里面的逻辑——

1. 阿里云凭借过硬的技术实力，发现了阿帕奇（Apache）Log4j2组件严重安全漏洞隐患。发现漏洞不是偶然，背后是技术实力的体现，从这一点来看，阿里云的技术确实很强大。

讽刺的是，前两天还在吹这个漏洞发现的多厉害，转眼就…

2. 阿里云向 Apche基金会上报了该漏洞，Apche作为一个开源软件基金会，也就是Log4j2项目的持有方，按照技术领域约定俗成的处理方式，确实应该第一时间提醒该项目的项目方该项目存在安全隐患。

这一点操作没有问题，尽到了开源社区成员应尽的义务。

3. 问题出在：阿里云忘记了自己的另一个身份——阿里云是工信部网络安全威胁信息共享平台合作单位。你可以认为，这只是一个偏公益性质的合作方式，但对于阿里云的客户来说，这个身份相当于工信部在为阿里云背书，这是很多中小玩家求之不得的。

阿里云一方面享受着这个身份带来的好处，一方面又不履行这个身份的义务，这就是问题的关键。

4. 其实谈到现在，我是能理解这个事件的——对阿里云来说确实是“无心之失”，发现漏洞的是个技术男，上报漏洞的也是个技术男，这条线上的技术男只醉心技术，只在乎自己在社区的名声和排名，根本不知道、也不关心阿里云有“工信部网络安全威胁信息共享平台合作单位”这个身份，这就是我们常说的技术男思维。

这样的事情我见过很多，甚至经历过一些。我相信在阿里云身上也不会是第一次发生，甚至在国内其他背靠开源的IT企业身上也发生过。

5. 那为什么工信部在这个时候“小题大作”地把阿里云拎出来“扇了俩耳光”呢？我认为这是一个信号——国家在信息安全上的力度越来越强了！

客观来说，Apache这个Log4j的Day0漏洞的影响面非常广，涉及的不仅仅是阿里云，其他绝大多数的云平台，或者自有的数据中心，都可能受到影响。从阿里云发现漏洞，报送了apache基金会，到工信部得知漏洞，期间有漫长的两周事件，谁也不能保证期间被人利用漏洞做坏事的可能。

互联网的安全系数，远远没有我们想象的那么安全。有些事情，尤其是这种关乎国家信息安全的事，犯一次错，那连第二次犯错的机会都极可能都不会有了。

6. 国资云的机会可能来了。云计算作为信息社会新基建的基石，其重要性不言而喻，阿里云作为国内云技术执牛耳者，一直被政府所倚重，这次事件给阿里云提了个醒：搞云技术，不能光看技术，还得时刻把国家利益放在首位。

此外，工信部这次公开“示众”，对阿里云的品牌是一次严重的打击，对于那些国资背景的云计算客户来说，也许阿里云已经不是最好的选择。