“怎麼樣,我們的損失大不大?”溫良臉上水靜無波,心緒平靜。
重視沒錯,可反正事情已經發生,怎麼都得接受,沒必要為難自己,麵對就完事了。
李澤爽朗的笑聲從聽筒中傳出:“不用著急,我們現在還是零損失!”
“嗯?”
“好奇吧?”
“當然,老苗頭給我的消息,能嚴重到他都知道……”
“原來如此!”
說著,李澤收斂了笑意:“知道你身邊有人,排查也花了不少時間,就沒有著急聯係你,從目前的情況來看,已經可以肯定我們會受到的影響微乎其微,可以忽略不計。”
接著李澤詳細解釋了情況:“我們所有對外的服務係統裏麵隻有早期Apache剛推出時用過這個日誌組件,後來因為其開源特性我們棄用了。”
“其中,因為星辰雲係統我們花了很大心血自主研發,幾乎所有第三方開源組件都隻是以作參照物而不會並入正式版,所以星辰雲服務等對外的企業級產品也不受影響。”
“而目前逐步進入試點運行的星辰服務係統更是甚少引入過第三方開源組件。”
“另一方麵,因為星辰體係的完全自主研發性質,對一些模塊的定義是與目前主流係統全然不同的,比如很大一部分適用於其它係統平台的命令行乃至調用參數的方式等都存在一些定義層麵的不同……這當時是因為要規避各類專利侵權風險。”
“總之,得益於你最開始強調的合規性、自主性,我們所有的自主平台在初期雖然走得十分艱難,需新造了一套體係,但也正因為如此,所以因與眾不同而安全。”
說完這些,李澤轉而說道:“根據集團網絡安全與用戶隱私大部門下的網絡安全部門反饋,這個漏洞已被阿裏雲提交給了Apache,另據可靠消息Apache已經開始測試補丁方案,不日將推出。”
“公司相關人員經過海量分析,評估出了這個日誌組件漏洞的影響範圍,比非常嚴重還要嚴重,預估是近年來發現的最嚴重的計算機漏洞!”
“攻擊門檻之低超乎想象,攻擊者能通過攻擊漏洞獲得的操作權限堪稱無限!而且據不完全統計,幾乎所有Java類框架都會用這個日誌組件,使用範圍之廣也很罕見。”
聽完李澤簡短的描述,溫良笑了起來:“準備準備,阿裏係要遭大殃了。”
“怎麼說。”李澤沒有著急激動,連語氣都認真了起來。
溫良耐心的回答道:“阿裏雲發現了漏洞並報告給開發的行業組織Apache,哪怕隻是優先報告,在後續交流中知道漏洞的影響範圍有共享給包括工信在內的相關主管單位,也沒事;
但阿裏雲沒有,不僅是發現時不共享,也不僅僅是知道嚴重情況後還不共享,哪怕是在工信現在已經主動發現了漏洞的情況下,還是沒有通氣……
偏偏漏洞影響範圍廣、攻擊門檻低、攻擊還堪稱無所不在,又是在這種關鍵時候,你說他不遭殃,誰遭殃?”
李澤很快想到了關鍵點:“印象中相關單位的流程不是很清晰,而且阿裏雲是普通企業,能找借口解釋吧?”
溫良反問:“你覺得以阿裏雲當下的發展態勢,它家業務廣泛不?”
“明白了。”李澤這才興奮起來,“我會好好準備的,你且等著看戲吧,我們在前期因為沒法拿到專利授權、初期因為阿美莉卡人為管束得不到新授權所多花費的每一分研發成本都會在不久的將來賺回來!”
溫良倒是很平靜:“不要先出頭,等一等工信的公告,也別通知友商了,能通知他們的時候會有人主動通告的,我們不要多管閑事。”
李澤應聲。
結束通話後,溫良翻了翻手機,查收了一封幾分鍾前才抄送給他的公司郵件,內容是簡明扼要的描述了這個叫Log4j2的組件漏洞前因後果和影響範圍。
沒有因郵件收件方可能不懂技術而縮略技術分析過程。
博浪的內部流程本來就有一些規定,湖弄的事情不是沒有,而是隻要帶了腦子就不會把摻雜湖弄的事情抄送給溫良他們這些高管。
溫良他們是可能不懂技術,但偌大一個博浪,難道找不出一個懂技術的?