阿帕奇基金会(阿帕奇基金会是哪个国家的)
阿帕奇基金会(阿帕奇基金会是哪个国家的)
事情源于阿里云发现了一个很严重的计算机漏洞!那是什么级别的计算机漏洞呢?计算机漏洞简单来说就是软件上的一个缺陷,可以使得别人可以攻击或者远程操控您的计算机。但这里有个区别,如果这个缺陷是编制过程中无意产生的才叫漏洞,但如果这个缺陷是软件公司故意留下的那就叫后门儿,后门儿又分了好几种,一种是没有太多恶意的,比如软件厂商为了方便测试或者远程的维修维护而留下的接口,一般情况也会让客户知道有这种远程调试的接口。还有一种是说不清有没有恶意,比如用户不知道,只有厂商才知道,就好像您去配钥匙,结果配钥匙的师傅偷偷给自己留了一把,您说这有没有恶意啊?反正不会是留个纪念吧。在十几年前,℡☎联系:软就被爆出在简体中文版本上留有后门,然后还有最后一种后门就相当别有用心了,是由某个神秘组织特别定制的。不了解的朋友可以去了解一下棱镜门事件。阿里云发现的这个后门儿是藏在美国阿帕奇基金会里的一个日志组件住。那所谓日志组件就相当于咱们平时写的日记,能记录您的计算机每天都发生了什么,什么时候开机,打开哪些文件,做了哪些操作等等,是计算机系统中最重要的组件之一。而阿帕奇这个组件应用的范围极广,点几个用这个组件的客户名字大家就知道了,苹果、亚马逊、特斯拉、京东、腾讯、百度、新浪等等都用了这个组件,利用这个漏洞啊攻击者只要提交一段代码,就可以进入到对方的服务器,而且可以获得最高权限。
所以,阿里云的这次发现都可能被称为是计算机 历史 上最严重的一个漏洞啊!本来这是阿里云的一大贡献!但是!随后他的操作就有点让人目瞪口呆了!他把这个漏洞报告给阿帕奇基金会,然后……就没有然后了……
直到12月9日!咱们的有关部门才通过国外已经沸沸扬扬的新闻才知道这件事儿。而此时离阿里云发现漏洞已经时隔整整15天的时了!也就是说国外凡是知道这个漏洞的人或者单位都能轻松地侵入我们的服务器!要知道阿里云在第三季度已经占据了全国近40%的市场份额,一半以上的上市公司都在使用阿里云!
Apache软件基金会(也就是Apache Software Foundation,简称为ASF),是专门为支持开源软件项目而办的一个非盈利性组织。在它所支持的Apache项目与子项目中,所发行的软件产品都遵循Apache许可证(Apache License)。
发展历史
编辑 播报
Apache软件基金会正式创建于1999年7月,它的创建者是一个自称为“Apache组织”的群体。这个“Apache组织”在1999年以前就已经存在很长时间了,这个组织的开发爱好者们聚集在一起,在美国伊利诺伊斯大学国家超级计算机应用程序中心(National Center for Supercomputing Applications,简称为NCSA)开发的NCSA HTTPd服务器的基础上开发与维护了一个叫Apache的HTTP服务器。
最初NCSA HTTPd服务器是由Rob McCool开发出来的,但是它的最初开发者们逐渐对这个软件失去了兴趣,并转移到了其他地方,造成了没有人来对这个服务器软件提供更多的技术支持。因为这个服务器的功能又如此强大,而代码可以自由下载修改与发布,当时这个服务器软件的一些爱好者与用户开始自发起来,互相交流并分发自己修正后的软件版本,并不断改善其功能。为了更好进行沟通,Brian Behlendorf自己建立了一个邮件列表,把它作为这个群体(或者社区)交流技术、维护软件的一个媒介,把代码重写与维护的工作有效组织起来。这些开发者们逐渐地把他们这个群体称为“Apache组织”,把这个经过不断修正并改善的服务器软件命名为Apache服务器(Apache Server)。
这个命名是根据北美当地的一支印第安部落而来,这支部落以高超的军事素养和超人的忍耐力著称,19世纪后半期对侵占他们领土的入侵者进行了反抗。为了对这支印第安部落表示敬仰之意,取该部落名称(Apache)作为服务器名。但一提到这个命名,这里还有流传着一段有意思的故事。因为这个服务器是在NCSA HTTPd服务器的基础之上,通过众人努力,不断地修正、打补丁(Patchy)的产物,被戏称为“A Patchy Server”(一个补丁服务器)。在这里,因为“A Patchy”与“Apache”是谐音,故最后正式命名为“Apache Server”。
后来由于商业需求的不断扩大,以Apache HTTP服务器为中心,启动了更多的与Apache项目并行的项目,比如mod perl、PHP、Java Apache等等。随着时间的推移、形势的变化,Apache软件基金会的项目列表也不断更新变化中——不断的有新项目启动,项目的中止以及项目的拆分与合并。比如一开始,Jakarta就是为了发展JAVA容器而启动的Java Apache项目,后来由于升阳公司(SUN)的建议,项目名称变为Jakarta。但当时该项目的管理者也没有想到Jakarta项目因为JAVA的火爆而发展到如今一个囊括了众多基于JAVA语言开源软件子项目的项目。以至后来,不得不把个别项目从Jakarta中独立出来,成为Apache软件基金会的顶级项目,Struts项目就是其中之一。
最近,为了避免SCO与UNIX开源社区之间的发生纠纷降临在Apache软件基金会(ASF)身上。Apache软件基金会(ASF)里面开始采取一些措施,让众多的项目进行更多协调的、结构化管理,并保护自己的合法利益,避免一些潜在的合乎法律的侵犯(potential legal attacks)。
组织构成
编辑 播报
理事会
理事会(Board of Directors)是管理与监督整个Apache软件基金会(ASF)的商务与日常事务,并让它们能符合章程的规定下正常地运作。
项目管理委员会
项目管理委员会(Project Management Committees,简称为PMC),主要负责保证一个或者多个开源社区的活动都能运转良好
现任理事会
根据2010年7月Apache官方Blog消息,Apache 软件基金会(ASF)宣布:Shane Curcuru, Doug Cutting, Bertrand Delacretaz, Roy T. Fielding, Jim Jagielski, Sam Ruby, Noirin Shirley, Greg Stein和Henri Yandell当选新一届ASF理事会成员。
Jim Jagielski
ASF理事,Apache软件基金会主席
Shane Curcuru
ASF理事,副主席 任职IBM
Doug Cutting
Doug Cutting ASF理事,搜索引擎专家,任职Cloudera,Hadoop之父。
Bertrand Delacretaz
ASF理事,任职DAY SOFTWARE的研发集团,他参与涉及的项目Apache Cocoon, FOP, Solr, Sling, Tika和ESME。
Roy T. Fielding
ASF理事,美国著名科学家,HTTP规范的重要作者之一,现任职DAY SOFTWARE首席科学家。
Sam Ruby
ASF理事,参与很多开源项目,ASF秘书兼法律事务副主席,W3C的HTML组织联合创始人,现任职于IBM。
Noirin Shirley
ASF唯一女性理事,负责会议的副主席。她任职Google。
Greg Stein
ASF理事,曾担任ASF主席。
Henri Yandell
ASF理事,Commons,Jakarta,Tomcat等项目维护者。
阿里云因未及时报告严重漏洞被处罚
阿里云因未及时报告严重漏洞被处罚,阿里云在中国云市场上占据着重要地位,阿里云在2021年第三季度以38.3%的份额领先中国大陆市场,阿里云因未及时报告严重漏洞被处罚。
阿里云因未及时报告严重漏洞被处罚1
近期,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。
通报指出,阿里云是工信部网络安全威胁信息共享平台合作单位。经研究,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。
观察者网日前曾对该事件做过详细报道,11月24日,阿里云发现这个可能是“计算机历史上最大的漏洞”后,率先向阿帕奇软件基金会披露了这一漏洞,但并未及时向中国工信部通报相关信息。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
工信部通报阿帕奇Log4j2组件重大安全漏洞
阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
工业和信息化部网络安全管理局将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全。
阿里云因未及时报告严重漏洞被处罚2
12月23日晚间,阿里云计算有限公司(以下简称“阿里云”)对发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告的事件进行了回应,阿里云表示,阿里云因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识,积极协同各方做好网络安全风险防范工作。
阿里云表示,近日,阿里云一名研发工程师发现Log4j2组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。
此前,阿里云因此事被罚。12月22日,工信部网络安全管理局通报称,阿里云是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
12月9日,工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。
阿里云在中国云市场上占据着重要地位,此前,Canalys发布中国云计算市场2021年第三季度报告。报告显示,2021年第三季度中国云计算市场整体同比增长43%,达到72亿美元。阿里云在2021年第三季度以38.3%的份额领先中国大陆市场,33.3%的年收入增长主要受互联网、金融服务和零售行业的推动。
阿里云因未及时报告严重漏洞被处罚3
近日,有媒体报道,阿里云发现阿帕奇Log4j2组件有安全漏洞,但未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。因此,暂停阿里云作为上述合作单位 6 个月。
原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——
非技术圈的人说:感觉阿里云只报给阿帕奇这个技术社区,不上报组织,是没把国家安全放心上。
技术圈层说:当然是谁写的bug报给谁,阿帕奇的'安全漏洞,报给阿帕奇是应该的,不能上纲上线。
23日晚间,阿里云就log4j2漏洞发布了说明,诚恳认错,表示要强化漏洞报告管理、提升合规意识,积极协同各方共同做好网络安全防范工作。
回顾这个非常技术的话题,有诸多事实需要厘清。
首先,阿帕奇开源社区是什么?Log4j2组件是什么?
阿帕奇是国际上比较有影响力的一个开源社区。官网上显示,华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者,另外也包括谷歌、℡☎联系:软等美国企业。全球的软件工程师,在这里共建一些基础的软件部件,相互迭代、提高公共效率,是软件产业的一个特有现象。
本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件,很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候,就邮件询问了阿帕奇,请社区确认这是否是一个漏洞、评估影响范围。
而后阿帕奇确认这是一个漏洞,并通知开发者们修补这个漏洞。于是,出现了天涯共此时,一起改漏洞的局面。
但阿里云遗漏了不久前上线的一个官方上报平台,仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。
其次,工信部暂停阿里云6个月合作单位资格,意味着什么?
据工信℡☎联系:报——「12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。」
媒体报道的暂停6个月合作单位资格,并未出现在公开渠道。据业内人士分析,这并不是一个严格意义上的“处罚”,否则不可能不公开通报。其次,网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台,暂停这个平台的合作资质并不对业务造成影响。
工信部关于Log4j2漏洞的风险提示
但此次事件,从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中,大量从业人员、组织养成了与开源社区合作的工作习惯,但对更高层面的安全意识、合规意识,在思想上、制度上都有所不足。阿里云的漏报行为,也是这一意识疏漏的一次具体体现。
整体而言,此次事件对行业的影响是正面的,这是一次警示、也是一次示范。阿里云是行业领先的IT企业,这也是能够率先发现全球重大安全漏洞的原因,而此次事件的发生,无疑将会增强计算机行业的安全合规意识,可以想见,无论是阿里云、还是其他诸多科技企业,都将在企业和组织内部增强合规培训和流程规范。
