最近这些天,被 Log4j 相关的文章、讨论刷了屏。目前我在网上看到的文章,自媒体大多饱含情绪批评阿里,安全圈则多数对技术研究环境有忧虑。

列举一些信息:

1、法律——网络产品安全漏洞管理规定。

链接:http://www.cac.gov.cn/2021-07/13/c_1627761607640342.htm

对“网络产品提供者”(所有提供网络产品的企业,理论上都受约束)的规定:

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

对从事网络产品安全漏洞发现、收集的组织或者个人的规定:

(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。

(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。

(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。

(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。

(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。

(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

(八)法律法规的其他相关规定。

在这个事件中,阿里云同时兼具两个身份(理论上,所有用到 Log4j,受漏洞影响的产品和企业,都是网络产品提供者)。

2、工信部网络安全管理局通报

阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。

3、阿里云回应:

阿里云一名研发工程师发现 Log4j2 组件的一个安全 bug,遂按业界惯例以邮件方式向软件开发方 Apache 开源社区报告这一问题请求帮助。Apache 开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。

阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。

4、负责任的披露(英语:Responsible disclosure)是计算机安全或其他领域中的一种漏洞披露模型,它限制了漏洞披露的行为,以提供一段时间来修补或修缮即将披露的漏洞或问题。

这也是阿里云提到的“业界惯例”。

5、这两年,我在社交媒体上陆续看到有些安全从业者到日本、新加坡等地工作。

至于观点,贴一下我信服的 TK(微博:@tombkeeper)在 2019 年 6 月就发过的内容:

限制漏洞披露,结果必然会影响漏洞研究本身。

漏洞研究和其它科技研究工作一样,都是特别苦的事情。人为什么愿意干特别苦的事情?那些博士们为什么愿意在实验室长年累月熬着?当然是为了发布研究成果,获得由此带来的收益(名、利、自我实现感,等等)。限制漏洞披露,就是削减漏洞研究的收益。

如果这种限制是全世界统一行动,那么大家刀枪入库,马放南山,卸甲归田,也挺好的。而如果只是一个国家这么干,那就相当于自己单方面主动裁军。

对安全问题的一个常见误解是认为漏洞是某种像导弹一样的东西,可以用油纸包起来放到山洞里。但导弹不会消失,而漏洞转瞬即逝。漏洞是动态的,不断产生,不断消失,所以其实更像电。电一旦发出来,难以长期保存。所以搞电力建设,核心不是囤积多少电池,而是建多少电站。对于漏洞来说,“电站”就是安全研究者。

在漏洞研究领域,人和人的差别有多大呢?大到一万个臭皮匠也顶不了一个诸葛亮。在任何行业,这种情况都是管理者最不喜欢的,但又是一个客观事实。在目前以及可预见的未来,没有什么软件或硬件能代替优秀的漏洞研究者。

目前业界公认水平最高的漏洞研究团队是 Google 的 Project Zero。Project Zero 汇聚了全世界各类漏洞研究方向上最好的一些人,每年都能产出数量和质量惊人的成果。那为什么这些人都愿意去 Project Zero?

Project Zero 的待遇当然是很好的。但同样的待遇,很多公司都能给得出。最主要的原因是 Google 给了 Project Zero 最宽松的氛围,特别是制度性地允许和鼓励对研究结果进行完全披露。

对研究者来说,除了薪酬待遇,最重要的是自己的成果能为业界所知,能自由地进行交流。这一点,决定了他们能够从内心中产生强大的自我驱动力,能对研究的问题昼思夜想,全身心投入。而不会像大多数人那样抱着拿一份钱打一份工的想法。不会多工作几分钟就认为公司占便宜了,自己吃亏了。

2006 年前后,国内网络安全研究人员的薪酬水平比较低。那几年 McAfee、Fortinet 等外企从中国挖走了大批优秀人才。以至于硅谷有些安全公司研究团队里一半以上都是华人。2012 年之后,国内这个行业的薪酬情况逐渐好起来,去国外的人就少了,一些已经去了国外的人也回来了。

目前国内安全研究实力和美国相比尚有差距,但处于蓬勃发展的状态。相对自由的环境,让大批优秀的年轻人愿意加入这个行业,展现才华,获得属于自己的成就。如果现在改变这种环境,让每个人在发布研究成果时都思前想后战战兢兢,短期内也许能获得些许表面上的平安和稳定。但长期来看,一定会对安全人才培养造成非常负面的影响。

说漏洞像电,漏洞其实又不像电。三峡的电,如果中国人不发,别的国家也发不了。但任何漏洞,如果你没有足够的人才来研究,是拦不住别人去研究的。