阿里云公司发现阿帕奇严重安全漏洞隐患后，未及时向工信主管部门报告，反而是直接报给了阿帕奇。阿帕奇用了17天发布漏洞补丁儿，工信部直到第15天才通过公众信息了解此事。这是一个核弹级的漏洞，并且阿帕奇的使用率极高，说难听点，15天足以把中国最重要的核心网站渗透成筛子了。问题是出在通知阿帕奇 问题是出在你发现漏洞以后只通知阿帕奇。如果说阿里发现漏洞先报告给国家，再通知阿帕奇，这算是屁股红，如果说阿里发现漏洞先报告阿法奇，在马上告诉国家，这算技术牛懂大局。如果说阿里发现漏洞先报告阿帕奇，在规定时间内告诉国家，这段正常商业无可厚非。如果说阿里发现漏洞先报告阿帕奇，然后就不管，等阿帕奇公布漏洞后国家才知道，这就有意思了。阿里到底是哪个国家的公司？这个漏洞还不是个小漏洞，范围大，影响大，他是国际公司开源的精神告诉了美国的开源公司，然后又没告诉中国风险，试问一下这算怎么回事儿？你觉得阿帕奇不会告诉美国？从阿里告诉阿帕奇，阿帕奇公开中间隔了十几天，几天的时间估计可以把网络玩个遍了。早在2021年7月12日，工信部、网信办和公安部联合下发的关于印发网络产品安全漏洞管理规定的通知就做过明确的规定，在其中第七条当中的第一项和第二项规定中说，一，发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施，并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围，对属于其上游产品或者组件存在安全漏洞，应当立即通知相关产品提供者。第二，应当在两日内向工业和信息化部网络安全威胁漏洞信息共享平台报送相关漏洞信息，报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。你看规定写的是当你发现安全漏洞的时候，要第一时间上报给产品提供者，然后是两日内上报给工信部网络安全威胁和漏洞信息共享平台。阿里云既然是工信部网络安全威胁和漏洞信息共享平台的合作单位，有义务也有责任向工信部上报这个漏洞，然后阿里却没有，所以被处罚了。这个工信部经历了共享信息平台目的就是当发现漏洞之后上报给平台之后，平台可以向所有的合作单位发出预警，预防因此而带来的网络安全问题，防止信息泄露威胁企业乃至国家安全。如果合作单位都像阿里云一样不上报网络安全威胁和漏洞信息，共享平台还有啥意义呢