阿里云发布关于开源社区Apache log4j2漏洞情况的说明。阿里云表示，Log4j2 是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。阿里云没有及时通报会造成什么后果？国内企业在发现网络安全漏洞后应该走什么程序通报？观察者网带着这些问题采访了一些业内人士。漏洞银行联合创始人、CTO张雪松向观察者网指出，Log4j2组件在java类系统中应用极其广泛，漏洞危害可以迅速传播到各个领域。由于阿里云未及时向中国主管部门报告相关漏洞，直接造成国内相关机构处于被动地位。阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。阿里云称，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。此后，阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。2021财年（2020年4月1日至2021年3月31日跨年度），阿里云营收达601亿元，比上一财年400亿元收入大幅增长50%，在阿里集团财年总营收7173亿元总营收比例为8.38%。600亿元总收入，超过多数上市公司年度总收入。
会造成非常严重的后果，也会承担相关的事宜。而且这样的安全漏洞看起来真的特别的大。也没有及时的去共享相关的漏洞信息，有着一些风险预警。可能会影响到地位。
会给网络攻击者也就是黑客带来极大的便利，给国家的很多产业带来了损失和可磨灭的安全隐患，会对我们的系统造成极其的不稳定性，会暴露某些企业的信息等，后果极其严重，影响也非常深远。
被工信部暂停合作了6个月，而且也会影响网络安全，导致国内相关的机构处于被动的地位。

阿里云因未及时上报漏洞被工信部作出处罚暂停列入合作单位六个月，待处罚期满后再决定是否跟阿里云继续合作。这样的处罚可以说是对阿里云的一个警示，在国家反垄断的大背景下，阿里云失去了跟工信部的合作关系，对其承接国家项目尤其是一些国企的项目会带来严重影响。与经济影响相对的是这次处罚带来的信誉影响更严重。阿里云作为国内云计算的龙头企业，承担了90%以上的中小企业云计算功能，如此庞大的规模，稍有不慎就可能会满盘皆输。下面来说一说整件事情：一、阿里云冤不冤这次发现的漏洞是基于阿帕奇Web服务器的log4j日志组件的，该组件被广泛应用于JAVA开发的各类程序中，因为其能帮助开发者分析系统运行情况以及状态。而这次发现的漏洞允许黑客通过该漏洞直接访问运行了log4j日志组件的服务器，相当于是把自己家门钥匙给了小偷。而在漏洞爆出了近半个月时间后工信部才接到别的安全企业发出的通知，相当于国内的服务器裸奔了近半月之久，所以作出这个处罚阿里云一点都不冤枉。二、阿里云潜在问题通过这件事情也暴露出阿里云潜在的问题，发现漏洞第一时间上报给了行业协会，但是并没有报告国家主管部门，不能只遵守行业协会的规定，而置国家法律法规不顾，这也体现了对法规条款学习的不到位。三、后续影响这件事对阿里云的影响不仅仅是经济上的，更多的是信誉上的，这件事后相信阿里云承接国企的项目难度会加大很多。你知道阿里云未及时上报漏洞受到了怎样的处罚吗？欢迎留言讨论。
应该对阿里云这样的事情做出一定的批评，同时也应该做出罚款，因为这样的事情很有可能会对很多的人们利益造成伤害。
如果有告知的义务而没有告知，那是该罚。如果没有义务呢？总有个标准吧？普通民众不明就理，希望媒体公开，公平，公正的报道相关消息。而不是空穴来风。这是做新闻的最起码底线。
工信部暂停了阿里云公司和相关合作单位六个月，责令整改，根据云公司的整改情况，酌情恢复合作单位。
暂停了阿里云和工信部门的工作6个月，等待阿里公司整顿完毕以后，在恢复合作。

既然是工信部网络安全的合作单位，发现安全漏洞当然是要第一时间上报工信部的，否则工信部跟它合作的意义在哪儿？ 从开发者角度看这是一个程序员的正常操作，发现开源项目的漏洞 肯定先提issue，待开发者自己核实，不可能去报警，与其质疑这个，为什么不质疑为什么大家要用三个外国人写的代码呢？我是程序员，我觉得阿里做的没问题这事不能说太细风险意识不足，给我国安全构成极大风险。程序员的常规操作没有错，错在公司没有建立上报的制度和流程。公司的错误，不应该让普通员工来承担。看了所有的回复，都是为阿里开脱的，没有想到阿里的势力如此之大，流毒如此之深，确实令人恐怖，幸亏国家及时出手打击了阿里巴巴，要不然真的会如马云所意，左右与控制国家。管理者的问题，对会员单位的义务以及国家网络安全不在乎，所以也就被解除了会员。不是程序员，是大公司。做法是有区别的。 一贯的价值观导向导致的必然的结果，只不过，国际国内大环境变了，舆论环境变了，多金而豪华的所谓公关天团，只能徒呼奈何。

一个大的企业，如果说想让自己的公司做的更好的话，肯定是需要取得用户的信任。而阿里云却泄露了用户的个人信息，并且把个人信息卖给了第三方，这件事情在发生之后也引起了很多用户的反对，并且也让用户觉得十分的愤怒。这件事情是发生在2019年的双11前后，阿里云有一位员工利用自己的职业之便，做出了这样的行为。阿里云泄露个人信息而事情在发生之后，也让用户发现了，并且进行了举报，而经过有关部门的调查，确实是发现了阿里云做出了相的事情。有关部门对阿里云进行了惩罚，并且要求其改正这种行为。而阿里云对于这件事情也进行了回复，表示这是员工自己的行为跟公司是没有任何的关系。但是对于王勇来说，肯定觉得这件事情发生在阿里云，就是因为阿里云没有对员工管理好，所以说才发生了这样的行为。而阿里云虽然说把这件事情的主要原因推在了员工的身上，但绝大部分的网友已经不再信任阿里云了。平台应该要保护好用户信息而我们国家也是有网络安全法，阿里云的这种行为已经是严重的，触犯了相关的法律。用户在网络上面的信息本身就是很难保证，所以说才选择了这样安全性比较高的软件。如果说像这样大的公司还会做出如此的行为，那么用户肯定也觉得自己的个人安全信息是越来越得不到保障了。阿里云管理上面的疏漏其实员工的行为固然有错，但阿里云都管理不到位，也是有错误的员工，能够直接的看到用户的信息。而且还可以通过其他的途径收集用户的信息，并把这些信息卖给第三方，那么阿里云的管理其实也是有疏漏的。那么也希望阿里云以及其他的产业能够以此为警戒，以后避免发生这样的行为。
近日，阿里云计算有限公司存在未经用户同意，擅自将用户留存在的注册信息泄露给第三方合作公司的行为，被浙江省通信管理局已责令其作出改正。阿里云就此事正式回应，经自查，该投诉事件应为2019年双11前后，阿里云一名电销员工违反公司纪律，利用工作便利私下获取客户联系方式，并传递给分销商员工，从而引发一名客户投诉。
阿里云对这样的事情进行了澄清，而且也当时会保证一定会及时更改系统的漏洞，维护用户的权益。
官方表示已经在尽力的整改了，而且也在进行改正，这样的行为已经引起很多人的反感了。

阿里发现的那个漏洞，可以被称为计算机 历史 上最大的漏洞-核弹级漏洞，这个漏洞比较普遍，黑客可以通过这个漏洞在服务器上做任何事。开发者收到阿里提交的漏洞和开发者核实后发布安全警报并修补漏洞之间有一段空窗期，这段时间越短对网络安全越好。漏洞越大对黑客越方便，黑客或者外国情报部门可能会在这段时间尝试攻击一下以前没攻破的目标。如果工信部能早知道漏洞就能及时预警，避免不必要的损失。把重大漏洞先报给处于国外的开发者，却不按时上报国内的相关部门以便国内先做防护预警，可见阿里是有点飘了。从这件事可以提出两点：一，阿里确实是国内比较雄厚的企业，其他企业都不知道，说明它的实力超过其他公司！二，阿里这次做事确实有欠妥的地方，这个漏洞应该告知国家相关机构，让国内提前避免这个漏洞的严重性，以防万一！