阿里云到底干了什么？

根据21世纪经济报道，故事大概是这样的。

11月24日，阿里云发现阿帕奇Log4j2组件存在重大安全漏洞。

从后来的情况来看，可能是“计算机历史上最大的漏洞”。

阿里率先向阿帕奇软件基金会披露了这一漏洞，但并未及时向中国工信部通报相关信息。

上报后，奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行了预警。

12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。

由于阿帕奇Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发，漏洞非常严重。

12月17日，工信部网络安全管理局紧急发布《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》。

根据2021年7月工信部、国家网信办、公安部三部门联合印发的《网络产品安全漏洞管理规定》第七条、第九条要求：（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。阿里云虽然将漏洞通知了相关产品提供者，却未能在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

阿里此举明显违反了上述规定。

经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

有没有程序员大牛从技术角度来说一说，阿里为什么这么干？

MSSA！via reddit