澎湃新聞記者 吳雨欣 

阿里云因未及時報告安全隱患被暫停網(wǎng)絡安全信息共享平臺合作單位資質。

12月22日，澎湃新聞記者從接近工信部人士處獲悉，因未及時報告嚴重安全隱患，阿里云公司被暫停作為工信部網(wǎng)絡安全威脅信息共享平臺合作單位6個月。

此前有媒體報道，近期工信部網(wǎng)絡安全管理局通報稱，阿里云發(fā)現(xiàn)嚴重安全隱患后未及時報告，未有效支撐工信部開展網(wǎng)絡安全威脅和漏洞管理，暫停工信部網(wǎng)絡安全威脅信息共享平臺合作單位資質6個月。

澎湃新聞記者并未在工信部網(wǎng)絡安全管理局官網(wǎng)查詢到上述通報。截至記者發(fā)稿，阿里云方面暫無回應。

阿里云究竟“晚報”了多久，從此前工信部發(fā)布的風險提示和外媒報道中可窺探一二。

12月17日，工信部網(wǎng)絡安全管理局發(fā)布的關于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡安全風險提示中指出，阿帕奇（Apache）Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業(yè)務系統(tǒng)開發(fā)。近日，阿里云計算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠程代碼執(zhí)行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

17日的風險提示指出，12月9日，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺收到有關網(wǎng)絡安全專業(yè)機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工業(yè)和信息化部立即組織有關網(wǎng)絡安全專業(yè)機構開展漏洞風險分析，召集阿里云、網(wǎng)絡安全企業(yè)、網(wǎng)絡安全專業(yè)機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業(yè)單位進行風險預警。

12月9日的時間節(jié)點，與阿里云官網(wǎng)發(fā)布的漏洞公告時間線吻合。阿里云官網(wǎng)顯示，12月9日，阿里云安全團隊發(fā)布 Apache Log4j2 遠程代碼執(zhí)行漏洞（CVE-2021-44228） 安全通告。

但多家外媒報道稱，該漏洞最早由阿里云的網(wǎng)絡安全專家發(fā)現(xiàn)，并在11月24日報告給阿帕奇軟件基金會，遠早于12月9日的時間節(jié)點。

根據(jù)我國《網(wǎng)絡產品安全漏洞管理規(guī)定》，網(wǎng)絡產品提供者應當在2日內向工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。

據(jù)工信部官網(wǎng)消息，今年9月1日，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺正式上線運行。其中提到，根據(jù)《網(wǎng)絡產品安全漏洞管理規(guī)定》，網(wǎng)絡產品提供者應當及時向平臺報送相關漏洞信息，鼓勵漏洞收集平臺和其他發(fā)現(xiàn)漏洞的組織或個人向平臺報送漏洞信息。平臺包括通用網(wǎng)絡產品安全漏洞專業(yè)庫（https://www.cnvdb.org.cn）、工業(yè)控制產品安全漏洞專業(yè)庫（https://www.cics-vd.org.cn）、移動互聯(lián)網(wǎng)APP產品安全漏洞專業(yè)庫（https://cappvd.cstc.org.cn）、車聯(lián)網(wǎng)產品安全漏洞專業(yè)庫（https://cavd.org.cn）等，支持開展網(wǎng)絡產品安全漏洞技術評估，督促網(wǎng)絡產品提供者及時修補和合理發(fā)布自身產品安全漏洞。平臺由中國信息通信研究院會同國家工業(yè)信息安全發(fā)展研究中心、中國軟件評測中心、中國汽車技術研究中心等國家網(wǎng)絡安全專業(yè)機構共同建設。