美国Apache基金会并非阿里云的供应商,为何将安全漏洞汇报给它?

[复制链接]
作者: 寄予清风 | 时间: 2022-1-15 17:17:05 | 其他|
0 107

540

主题

540

帖子

1627

积分

高中生

Rank: 6Rank: 6

积分
1627
发表于 7 天前| 显示全部楼层 |阅读模式
在阿里云将安全漏洞通告美国Apache基金之后,一直有一个理解的误区:阿里云是通知了供应商,让供应商解决问题,但美国Apache基金会并非阿里云的供应商。
搞清阿里云与美国Apache的关系:阿里云只是用美国Apache软件,线上服务都是各公司自己的。因此,阿里云通告美国Apache无助于修复漏洞,安全修复还是应该靠自己(包括阿里云、中国各公司)完成。
既然,美国Apache基金会并非阿里云的供应商,阿里云为何将安全漏洞汇报给它?
请问阿里云:看菜谱做菜,糊锅了,难道要先给菜谱提供者报问题?

阿里云发现美国Apache基金会的Log4j2组件严重安全漏洞隐患后,直接将漏洞通告给了美国Apache基金会,这其实无助于漏洞的修复。
事实上,Log4j2只是一个开源软件, 美国Apache基金会并没有从各家使用者收钱,因此根本就不是供应商,只是一个开源软件的非盈利组织。

阿里云发现的Log4j2安全漏洞之后,如果想要修复,显然还是阿里云自己来更换版本,这一切都是自主完成的。美国Apache基金会其实并不能做什么,即便发布了最新的软件,还是要各个公司自己上线。

美国Apache基金会不同于云服务提供商,它不可能直接修复漏洞。阿里云将漏洞信息透露给美国Apache基金会,只能造成安全漏洞扩散的恶果。

从各公司修复Log4j2的漏洞来看,也跟美国Apache基金会关系不大,线上服务都是各公司自己的,替换一个开源软件,跟开源软件的提供者并没有关系。

因此,阿里云将安全漏洞提供给美国Apache基金会,着实不合常理。就好比一个人看着菜谱做菜,然后发现糊锅了,难道要给菜谱提供者报问题?

阿里云向美国Apache的漏洞通告,无助于解决问题,反而是扩散漏洞(而且还瞒着中国方面)。这是真正的糊涂,还是向资本的摇尾乞怜?

来源:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回列表 返回顶部