羅Sir說—合規 | 安全漏洞砸中, 阿里云再遭點名!_阿帕奇:solana幣今日價格

|羅Sir說原創出品?|

2021年12月22日，工信部網絡安全管理局通報稱，阿里云計算有限公司發現阿帕奇Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。阿里云系工信部網絡安全威脅信息共享平臺合作單位，工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。通報當天，阿里股價應聲而降。

早在2021年12月17日，工信部網絡安全管理局曾發布一則關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示，指出2021年12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。近日，阿里云計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

美國3月CPI同比上升5% 創2021年5月以來新低:金色財經報道，美國3月CPI同比上升5%，為2021年5月以來新低，預估為5.1%，前值為6.0%；美國3月CPI環比上升0.1%，預估為0.2%，前值為0.4%。美國CPI數據公布后，美元指數DXY短線走低逾40點，現報101.72。BTC短線走高300美元。[2023/4/12 13:59:41]

什么是阿帕奇Log4j2組件漏洞？

阿帕奇Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業務系統開發。該組件存在的遠程代碼漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。

在收到阿帕奇Log4j2組件安全報告后，工業和信息化部已立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。為降低網絡安全風險，工業和信息化部提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

DeGods曾向Solana基金會索要500萬美元以留在Solana鏈上:12月27日消息，一位Solana基金會的代表證實，Solana生態NFT項目DeGods曾向Solana基金會索要500萬美元以留在Solana鏈上。

此外，DeGods一名代表表示，y00ts遷移到Polygon也是有代價的，Polygon用其合作伙伴基金的贈款進行支付，交易的細節最終將公開。這項贈款將持續一年（也許兩年），而且沒有預先支付，目前尚不清楚贈款用完后會發生什么。（CoinDesk）

據金色財經此前報道，Solana生態NFT項目DeGods發推稱，將于明年第一季度橋接至以太坊，詳細信息將在準備就緒和測試后發布。此外，DeGods將于明年1月公布Season III路線圖。

Solana生態NFT項目y00ts發推稱，將于明年第一季度橋接至Polygon，詳細信息將在準備就緒和測試后發布。與此同時，y00ts將在1月發布更加正式的y00ts: Season 2路線圖。[2022/12/27 22:10:08]

而且，由于阿帕奇Log4j2組件是開源代碼，應用非常之廣，此次安全漏洞不只關系到阿里云，還關系到所有使用Log4j2組件進行開發和應用的公司。

NGC Ventures已向Web3行業復蘇倡議(IRI)注資1000萬美元:11月30日消息，加密風投機構NGC Ventures發推宣布已向幣安發起的Web3行業復蘇倡議(IRI)項目注資1000萬美元（USDC）。并稱，許多偉大的項目和建設者都受到了這種情況的影響，我們希望幫助他們度過這個困難時期。NGC Ventures并附上了鏈上交易記錄。[2022/12/1 21:13:37]

什么是CSTIS平臺？

工信部網絡安全威脅和漏洞信息共享平臺于2021年9月1日上線，是一個匯集、通報漏洞信息的共享平臺，合作伙伴基本覆蓋了基礎電信企業、互聯網企業、網絡安全企業。中國電信、中國移動、阿里云、騰訊、京東、360、百度在內的31家企業都是該平臺合作伙伴。

分析師：絕大多數歐元和英鎊持有者選擇BTC以應對貨幣貶值:9月29日消息，Messari高級分析師發文表示，在面對貨幣貶值危機時，絕大多數歐元和英鎊持有者選擇購入BTC來保持購買力，這種趨勢在2020年或2021年之前的危機中沒有出現。

此外，以太坊并沒有出現這樣的趨勢，與過去2年相比，ETH近期的交易量相對較弱。[2022/9/29 22:39:26]

CSTIC平臺建立的初衷顧名思義就是信息共享，及時得到漏洞通知。尤其是這種開源軟件安全漏洞的傳達是分秒必爭的，如果安全漏洞在被發現之后先被攻擊者知曉，就會造成不可挽回的損失。所以有必要建立共享平臺，保證在漏洞被廣泛揭曉之前，先給關鍵服務提供商修復的機會。

而阿里云被暫停合作6個月，對于國內最大的公有云服務商而言，失去了6個月第一時間共享安全信息的渠道，不僅是阿里云，對于其合作方也是不小的損失。據悉，阿里云今年才扭虧轉贏，對于被寄予厚望的阿里云而言，暫停與CSTIS合作顯然不是好消息。

Frax Finance計劃與Sperax設立聯合流動性計劃:6月17日消息，Frax Finacne創始人Sam Kazemian表示支持與Sperax在Arbitrum上設立FRAX/USDs Factory Pool，并計劃成為Curve Arbitrum上最大的流動性池之一。[2022/6/17 4:33:58]

阿里云為什么要被整改？

阿里云在發現漏洞后第一時間告知阿帕奇軟件基金會從技術層面是完全沒有問題，這也有利于漏洞修復，但是阿里云卻沒有第一時間告知CSTIS平臺，違背了信息共享設立之目的，也違反了《網絡產品安全漏洞管理規定》

安全規定第七條規定，網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發布，并指導支持產品用戶采取防范措施：

發現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

其中第款指出要在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息，顯然阿里云沒有做到。

今天下午阿里云發布的情況說明也證實了這點。

在網絡安全方面，我國起步較晚，2017年才出臺《網絡安全法》，以立法形式明確了服務商的安全報告義務。網絡產品、服務發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

但《網絡安全法》只是一部框架性的法律，如果要實施還需要更多配套法規與實施細則的支撐，于是工信部在2019年9月印發了《公共互聯網網絡安全威脅監測與處置辦法》，也是在這時建立了網絡安全威脅信息共享平臺(https://www.cstis.cn/），負責統一匯集、存儲、分析、通報、發布網絡安全威脅信息，并有權通知存在漏洞、后門的網絡服務和產品的提供者，由其采取整改措施，消除安全隱患。

2021年7月，工信部、部聯合發布安全規定，將“及時向有關主管部門報告”細化為“應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息”。而阿里云在2021年12月犯這種未及時報告的錯誤實屬不應該。?

這也給各網絡安全公司敲響了警鐘。網絡產品安全漏洞收集平臺、網絡產品提供者或網絡運營者都應全面梳理自己角色對應的網絡安全漏洞合規義務。相關行業都要構建有效的網絡安全漏洞響應機制，如設立安全運營中心，或在網站、App設立專門頁面接收漏洞報告。并在2日內向工信部報告。如果技術能力相對有限，可以與安全廠商合作建立企業的安全運營中心。企業內部的信息安全部門、IT部門、法務部門等應當共同制定漏洞規則，圍繞接收、響應、處置的流程，草擬漏洞接收后的反饋文本，指定的漏洞報送的格式。

在此基礎上，確保安全漏洞的接收日志留存期限不少于6個月，在草擬上述文本時可參考《網絡安全漏洞管理規范》，謹防觸碰網絡安全紅線。

羅Sir說

羅Sir說是全球區塊鏈合規聯盟官方自媒體，全球區塊鏈合規聯盟提供相關企業業務合規資質服務，歡迎通過郵箱service@gbcuf.com或微信與我們進行更詳細的業務溝通。

來源：金色財經

Tags：阿帕奇SolanaSOLOLA阿帕奇幣前景solana幣今日價格sol幣會被下架嗎Bitcoin Volatility Index Token

以太坊最新價格