盛唐如松：任重道远的自信

　　相信很多朋友都在昨天或今天看到一个视频。西安交大附近某小区门口的一位中年女子，在不遵守防疫规则后声称自己不是平民百姓，她已经在美国居住七年了。在她的意识里，长期居住美国，哪怕不是美国人，在国内也应该高人一等。我试想了一下，既然她如此认定呼吸过美国空气就能高人一等，那如果站在她对面的是一个如假包换的美国人，这位女子会不会立刻匍匐上去跪舔美国人的鞋面呢？按照她的逻辑，她应该会这样做的。因为在她眼里，等级的森严不可侵犯，作为森严等级的受益者，她自然也应该履行自己的义务。

　　实际上，今天要说的不是这位女士，嗯，还是称为女人吧。孔子曰“士不可以不弘毅，任重而道远。”我觉得凡事称呼后面缀上一个‘士’字的，最起码得有一点骨气，有一点自尊，比如勇士，比如战士等等。否则就做一个普普通通的人吧，虽然有的人连符合做人的标准都够呛。

　　今天要说的是阿里云。对于网络漏洞，我多少还是了解一点的。毕竟我家里有人在这一行里谋生，也曾为国家的网络安全做过些许贡献。阿里云这件事相信大家如今也都知道了，被工信部暂停了六个月的与工信部网络安全威胁信息共享平台合作资格。

　　咱们也不用专业语言来解释这件事，毕竟很多朋友【也包括我自己】对那些专业性的东西看不太明白。就用大白话来说一下这件事的起因吧。

　　大约在十年前吧，为了保证日益繁盛的网络世界的安全。中国开始对社会企业开放网络安全的监控与挖掘。当时社会上出现了很多网络安全平台。这些平台得到工信部的授权，可以对各个网站以及各种程序进行任何方式的攻击，从中发现可以被攻克的漏洞。通过这种方式发现的漏洞一般会由攻击发现者提交给平台，再由平台提交给工信部以及相关网站的开发者。

　　这些平台的出现导致社会上很多迷恋于黑客技术的年轻人不再冒着违法的风险在网上实现自我价值。而是通过与相关平台的合作获得技术的认可

以及财富的收获。这群人当时被称之为白帽子。【后来大家应该是觉得这名字不太好听，所以并没有流行起来】，而当时比较有名的网络漏洞平台有乌云，补天等，后来各大互联网公司都相继成立了自己的网络安全平台，新浪，网易，腾讯和阿里。事实上，如今只要是较大的互联网公司，都会有自己的网络安全团队以及平台，比如唯品会等……它们主要是召集各路江湖高手对自己的平台进行网络安全测试，不断优化自己的安全防护。然后，也会对其他网站或者较为深层的网络基础架构进行攻击与优化。一段时间以来，依靠为各家互联网公司挖漏洞挣赏金，很多手里有技术的年轻人日子过得还是很不错的。这也进一步激发了年轻人对于网络技术的兴趣与爱好。

　　我家小子就是其中一员，也算是做得较为成功的一员。他在大三时，就曾经发现了一个北京地铁系统的网站漏洞，通过这个漏洞，入侵者可以对北京地铁的操控系统进行篡改，算是一个高危漏洞。他在第一时间上报平台后，平台也在第一时间提交给相关部门，从而避免了这一漏洞为

他人所用造成损失。由此可见，高危漏洞第一时间提交给相关政府部门的重要性。如果这一漏洞当时不提交给相关部门，而是放到某个网站去炫耀自己的本事，或者卖给某些暗黑网站，那带来的损失可能就是灾难级别的。

　　自然我也听过不少

年轻人由于不懂法，发现高危漏洞后并不第一时间提交给平台，而是和漏洞程序的开发公司交涉，希望以此获得更高的报酬。这样做的结果，有的会成功，有的则因为开发公司的报警，从而让自己身陷囹圄，因为那样做涉嫌敲诈。乌云网络安全平台好像就出现过这种案例。所以，第一时间提交给平台，平台第一时间提交给相关部门，这不是一个惯例，而是一个法定的程序。对于网站和基础程序发起攻击的授权，本身就是来自政府。没有政府的授权，任何攻击都是违法的。所以，网络技术从业者们最好的办法就是与有资质的平台合作，而平台则以政府的授权来为技术从业者打开前进的大门。

　　阿里并不是第一批涉足网络安全的头部公司，但财大气粗的它一旦涉足，立刻就成了举足轻重的头部公司。当然，和工信部网络安全威胁信息共享平台合作的公司也不仅仅只有阿里云一家。但凡在这个行业里具有资质的网络安全公司都和这个平台有着共享关系。

　　没有授权而擅自发动攻击是违法，得到授权却不尽上报义务，也是违法。所以，阿里云本次得到的阿帕奇漏洞，从程序上来说，第一时间就应该上报工信部的共享平台，而不是远在美国马里兰州的阿帕奇基金会总部。这是程序问题，不存在流程失误。我不知道这次漏洞的挖出是阿里云平台自己的核心团队做的，还是依附于阿里云的个体技术员做的。但无论如何，漏洞提交到了阿里云，平台就得报告给工信部的安全共享平台。最起码，也得同步进行。【实际上，同步进行或者符合所谓的国际规则，但却一样损害了国家利益】。

　　而事实上，阿里云不但没有及时上报这个漏洞，甚至根本就没有打算上报。从新闻中我们知道，工信部获知这个漏洞并不是阿里云的上报，而是其他网络安全机构的提示。有人称这算是一个‘史诗级’的漏洞，或者有点夸张，但这个漏洞带给各大网站的危险的确很大。阿里云很显然并没有置国内互联网用户的安全为自己的最高义务，而是迫不及待的把这个漏洞提交给了美国的阿帕奇基金会。或者阿里云认为只有这样做，才可以证明自己的国际范以及技术的先进性。但却完全忘记了作为一个中国企业，作为工信部授权企业的义务与责任。

　　从阿里云把漏洞提交给阿帕奇基金会到中国工信部从第三方渠道发现漏洞并提示警告，时间过去了半个月。这半个月中，如果某些中国公司因为这个漏洞而产生信息损失，财产损失，那么是不是可以据此向阿里云索赔。这是必须的。前面我们说过，漏洞的存在并不一定会产生风险，网络安全平台只要先于黑客等网络犯罪者获得漏洞的存在，就可以堵住漏洞，避免损失。而阿里云发现的这个漏洞，由于其没有及时上报上一级平台，而是给了非国内平台。这其中要是出现财产损失，情报泄露的话，要么就让它赔钱，要么就得让它承担相应的刑事责任。而不是暂停六个月的共享合作。

　　这件事往小处说，就和前面西安的那位女子一样，阿里云也是一个崇洋媚外的货，心里面认定好东西交给国外就会获得不一样的赏识。但事情恐怕不仅仅是不自信这么简单。阿里云是网络安全的行家，知道这个漏洞意味着什么。

　　而这东西压根就没有上报工信部的意思究竟是什么意思呢？我认为，或者它在等阿帕奇基金会的指示。那边的工作没有完成，他这边就不能急着上报工信部，以免耽误阿帕奇的入侵工作。结果人家的工作完成了，都开始通知自己的西方盟友注意危险了，却忘了回复阿里云，让它们走一下正规程序，也或者是不屑通知。如果真是这样的话，这次做狗的滋味也太悲哀了。基于这个原因，我们还真得好好查查这半个月里，到底有没有什么重大损失，如果有的话，就要动用《国家安全法》来处理，而不是轻飘飘的暂停合作可以应付得了的。

　　通过这次暂停合作的政令，我们也可以看出工信部在这方面的敏感性还是不强。最起码我觉得在暂停合作的同时，也要派出调查组对此进行全面调查。看看这次事件造成的损失有多大，看看有没有同样的事情在此前发生过。如果有损失，如果此前还有这样的事情，那么严惩就是必须的。惩前才能毖后，这是铁律。

　　那位西安女子受到了行拘十日的处罚，阿里云该受的处罚也绝不能只是所谓的暂停共享。

　　我们需要的自信与爱国，任重而道远。但惩治的铁拳，却一定要敏锐而及时。