某中概捅了马蜂窝

我猜很多人会以为今天要吃薇垭或者王力宏的瓜，其实他那些事属于娱乐圈日常，真没啥好聊的。

最近IT业内发生的一件才是真·大事，主人公阿里巴巴，吃瓜群众各站一边吵翻了天。

因为内容略微有点专业，所以我尽量简化来讲。

大家都知道盖房子吧？开发商盖房不会从制作一块砖头开始，这个逻辑在IT行业也同样适用。

IT行业的砖头是开源组件。

这个月9号，国内IT厂商和安全公司陆续接到通知，一个名叫log4j的开源组件被发现严重漏洞，危害程度堪比2017年永恒之蓝。

码农看到log4j都懂，这玩意隶属于阿帕奇软件基金会，几乎是业内用得最多的一块砖头，没有哪家公司敢说自己完全不涉及。

经过紧急验证后，大家陆续做了应对处理，有些一线员工甚至通宵几个晚上。

事情至此本该画上句号，但神奇的事情突然发生了。

阿里站出来宣布：你们都发现得太晚了，这个漏洞是我第一个发现的，上月24号我就报告给了阿帕奇。

阿里想争第一可以理解，但他这个汇报思路就很清奇了，为啥？

这就好比大家一起喝肥宅快乐水，眼瞅着喝得差不多了，忽然有人说：

第一、你们喝的饮料有毒。

第二、我半个月前就知道有毒。

第三、我偷偷告诉了饮料厂商，但没报警。

于是网上舆论炸裂了。

【站阿里的观点大致如下】

发现漏洞就应该第一时间上报所属的软件基金会和社区，等修复后再对外公布。

如果利益相关，哪怕是发现漏洞人的雇主，也不该被事先通知。

这样才能降低漏洞泄露的风险。

【反对方观点大致如下】

根据今年9月发布的《网络产品安全漏洞管理规定》，发现安全漏洞后必须在2日内上报工信部。

阿里11月24日发现漏洞并向阿帕奇基金会报告，但工信部却拖到12月9日才拿到消息，阿里想啥呢？

一家国内公司，发现事关国家安全的顶级安全漏洞，不及时向国内相关部门报备，而是报告给漏洞所属的基金会，阿里显然违规了，没啥好洗的。

看到这里不知道大家有啥感想？

我觉得正反两方分别代表行规和法规，归根结底这是意识形态之争。

坦白讲，科学无国界，但科学家有国界。

互联网无国界，但公司有国界。

尤其在今年反复强调网络安全、信息安全的档口，哪边轻哪边重，还拎不清就有点。。。

另外，阿帕奇面对顶级漏洞，耽搁半个月才修复，怎么说都有点反常，我给个大问号。

来源：闲画生财