工信部网安局通报，阿里云作为网络安全威胁信息共享平台合作单位，在发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电

工信部网安局通报，阿里云作为网络安全威胁信息共享平台合作单位，在发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。 经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。南方财经独家获悉上述消息。 （21世纪经济报道）

【“史诗级”漏洞未及时上报，阿里云被工信部暂停合作单位称号】阿里云虽然发现了阿帕奇（Apache）Log4j2 组件严重安全漏洞

【“史诗级”漏洞未及时上报，阿里云被工信部暂停合作单位称号】阿里云虽然发现了阿帕奇（Apache）Log4j2 组件严重安全漏洞并反馈给了软件所有方阿帕奇软件基金会，但在工信部网络安全威胁信息共享平台的上报流程上出现了问题。 #抽屉IT

阿里云被暂停工信部网络安全合作单位6个月

阿里云被暂停工信部网络安全合作单位6个月 近日，工信部 通报称，阿里云 公司发现阿帕奇（Apache）Log4j2 组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。（） 向Apache通报但没向工信部通报

三部门联合印发《网络产品安全漏洞管理规定》，禁止利用漏洞危害网络安全行为

三部门联合印发《网络产品安全漏洞管理规定》，禁止利用漏洞危害网络安全行为 工信部、网信办、公安部 等日前发布《网络产品安全漏洞管理规定》，要求任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息。 工信部网站刊登的管理规定全文并称，有关主管部门将加强跨部门协同配合，实现网络产品安全漏洞信息实时共享，对重大网络产品安全漏洞风险开展联合评估和处置。 利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的，由公安机关依法处理。 （，工信部 、）

中国工信部、国家网信办、公安部7月12日联合发布《网络产品安全漏洞管理规定》，自2021年9月1日起施行。

中国工信部、国家网信办、公安部7月12日联合发布《网络产品安全漏洞管理规定》，自2021年9月1日起施行。 《规定》是为了规范网络产品安全漏洞发现、报告、修补和发布等行为，防范网络安全风险，并明确了三部门的职责。任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息。鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。网络产品提供者应当确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施。 《规定》还要求从事网络产品安全漏洞发现、收集的组织或者个人向社会发布网络产品安全漏洞信息需遵守规定，其中包括：不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况；不得刻意夸大网络产品安全漏洞的危害和风险、实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动；不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具；在发布网络产品安全漏洞时，应当同步发布修补或者防范措施；在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息；不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。 《规定》要求任何组织或者个人设立的网络产品安全漏洞收集平台，应当向工业和信息化部备案。相关组织应当加强内部管理，采取措施防范网络产品安全漏洞信息泄露和违规发布。 （中国工信部）

阿里云发表关于开源社区Apache log4j2漏洞情况的说明

阿里云发表关于开源社区Apache log4j2漏洞情况的说明 Log4j2 是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。 近日，阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。 阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。 阿里云计算有限公司