那么,咱就谈谈法规吧
2021/12/27 3:00:00 caoz的梦呓

     有人问,昨天我发的文章,看到某些评论会不会生气,其实不至于,因为这种文章,只要我开了评论,基本上都能预料到,会有哪些货色出来跳。通常让我生气的是,明明讲点人畜无害的东西,也会有人突然跳出来扣帽子,换言之,预期之外的负面反馈容易让人生气,预期之内的,还好,早就做好思想准备了。

     先回顾一下旧文

     关于所谓0day漏洞的一些科普

     那么一些典型的评论是这样的,中国公司应该遵循中国法规。行规不能替代法规。

     然后就有人翻出来所谓的工信部通告来试图给我打脸。

     坦白说,起初我还真没仔细去看这个条文,但看完之后,我发现,很多人对法规的解读能力,是有问题的。

     那么我来解读一下。

     因为我的公众号不能发外部链接,我这里复制一下网址

     http://www.gov.cn/zhengce/zhengceku/2021-07/14/content_5624965.htm

     那么这里有不少人说,第七条规定如下

     第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

     (一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。

     (二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

     政府官方网站这不,两日内报备么。

     不好意思,这里的网络产品提供者是什么意思?这个条款的主体目标是谁,就阿里云发现了apache的log4j漏洞事件,是哪个产品出现了漏洞,是阿里云还是apache?这里的网络产品,很明确,是apache,网络产品提供者,这里的定义很清楚,是指apache官方,不存在歧义。也就对应我文章里提到的,软件开发官方。

     不好意思,中国的法规管不了apache,也管不了微软,也管不了安卓,也管不了iOS。

     那么阿里云发现了漏洞,这个条规里是怎么定义的,我们继续看。

     第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。

     政府官方网站

     是的,阿里云绝对属于运营者。这个是符合的,这里有通报义务么,没有,这里只有一条,就是及时验证和修补。

     当然,阿里云在这个事件中的角色,并不只有这一条。

     第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:

     (一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。...

     (七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

     (八)法律法规的其他相关规定。

     政府官方网站我本来想全部引用的,结果微信只允许引用300字,好吧,我截取了一下,其他部分可以去自行搜索验证。

     在这个事件里,阿里云是典型的网络产品安全漏洞的发现方,对不对。

     注意第一条,不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。

     是不是和我说的行规一致。这里的网络产品提供者是谁,是apache,这就对应了。

     认为有必要提前发布的,应当与网络安全产品提供者共同评估协商,并向各个部门报备,仔细解读一下,"认为"这个词是什么意思,这个是强制要求报备么?而且,是需要apache参与协商评估,才可以发布的,不好意思,也不是工信部自己说了算的。

     第七条,不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。

     这里提到的是”网络产品提供者之外“的境外组织或个人,那么,网络产品提供者apache是所谓之外么?

     我先不说这个法规是否有值得商榷的地方,这个吴鲁加老师的文章有提

     漏洞上报的法律、惯例和观点(不好意思,吴老师文章里对网络产品提供商的定义也是错的)。

     仅就这个法规而言,阿里先报apache,不向境内机构报备,违规了么?至少基于公开披露的信息来看,不好意思,一点都没有。

     我再给读者讲一个常识,一些涉及专业技术的法规制定,也是要参照专业人员的意见和建议。你讲法规大于行规,但你知道不知道,法规本身也是脱胎于行规的。

     那你说,阿里为啥受处罚了,先看看是什么性质的处罚?罚款了没?抓人了没?停止阿里产品的采购了没?有些人在叫嚣,什么阿里云失去政府市场,阿里如何自寻死路,我特么的笑死,政府采购什么时候轮到网上叫蛆来决定了。

     只是终止了某机构会员资格六个月,这是什么性质呢,我举个例子你们理解一下。假如啊,假如我拿法律比作微信生态的规则,我现在建了一个群,我立了群规,有人违反了群规,我把他踢出去,6个月后看表现,可以再拉回来。

     请问违反群规算什么样的问题。说白了,政府有关机构搞了一个安全信息互助群,阿里的发布方式,或许违反了这个群规(群规是啥,我不知道),被踢出群六个月。如果你把法规对比为我举例中的微信的注册协议,那么违反群规和违反法规,自己动脑子想想,是他妈的一回事么。

     如果阿里真的违反了法规,政府铁拳会这么轻么。

     上纲上线,乱扣帽子,无知不是什么问题,无知还天天出来秀自己,不是傻逼是什么。

     其实这件事呢,如果掰开了说,分几层。

     1、各种傻逼自媒体,为了十万加瞎扣帽子,乱加罪名。

     2、除非有未公开的隐情,以当前公布内容看,根本不涉及所谓违法事宜。但不排除可能违反某些组织机构的内部规则。

     3、现有的舆论环境,阿里根本不敢进行任何自辩和解释,只能认怂道歉。这也是为什么我说可能是违反机构内部规则,但也有可能是侠之大者,为国背锅。

     4、也就是吴鲁加老师说的,信息安全产业最有价值的不是漏洞,而是专业人才,人才不是奴才,需要宽松的环境,需要理解,需要尊重。

     不只是信息安全,最近这些年我们谈创新,那么什么是创新?

     创新一定会打破一些旧的秩序,旧的规则,对不对。循规守据的人是无法创新的,按部就班的人是无法创新的,乖乖听话的人也是无法创新的。

     当然,我不是说所有规则都要打破,这就是之前经常强调的,需要一个度,如果说,什么规矩都不守,任由一些人用各种名目去收割,去搞资金盘,当然是不对的。所以政策的管控,政策的约束,在很多领域,是必要的,是应该的。

     但凡事都是一个度,如果规则过度苛责,对从业者听话的要求过度严苛,对那么创新环境也会被扼杀。

     一个好的规则,好的制度,会让从业者产生正反馈,比如更积极,更具有热情,更愿意发布有价值的成果。但一个坏的规则,坏的制度,会让从业者产生负反馈,比如更消极,更缺乏动力,甚至产生迁移的想法。

     无论是吴鲁加老师,袁哥,还是TK教主,最近都有不同程度的表态,你们觉得他们是在声援阿里么,他们只是在为从业者争取一点宽松的环境。安全行业的老人都提到一个现实,就是我们见证了早些年安全人才的外流,和前些年的安全人才的回流,从历史发展来看,信息产业的蓬勃发展,优秀人才在国内可以体面的赚钱,这当然是好事。

     但最近这两年,说实话,从业者的心态越来越消沉。这是事实,但网上的主流舆论,看不到这些。

     就这样吧。

     你讲行业常识的时候,他们讲法规,你现在讲法规,他们会讲国情,嗯,等你真讲国情了,他们又会去找别的借口。

     反正,傻逼是永远正确的,沉浸在自己幻想的世界里永远正确。

    源网页  http://weixin.100md.com
返回 caoz的梦呓 返回首页 返回百拇医药