（原标题：发觉严重漏洞未及晨报告，阿里云被暂停住建部网路安全恐吓信息共享平台合作单位6个月）

12月22日，据21世纪经济报导消息，近日，住建部网路安全管理局通报称，易云网路（下称：阿里云）发觉阿帕奇（易云网路）易云网路组件严重安全漏洞隐患后，未及时向联通主管部门报告，未有效支撑住建部举办网路安全恐吓和漏洞管理。

通报强调，阿里云是住建部网路安全恐吓信息共享平台合作单位。经研究，住建部网路安全管理局决定暂停阿里云作为上述合作单位6个月。暂停届满后，依据阿里云整改情况，研究恢复其上述合作单位。

观察者网近日曾对该风波做过详尽报导，11月24日，阿里云发觉这个可能是“计算机历史上最大的漏洞”后，率先向阿帕奇软件基金会披露了该漏洞，但并未及时向中国住建部通报相关信息。

随即，法国和英国官方的计算机应急小组率先对这一漏洞进行预警，而中国住建部是在收到网路安全专业机构报告后，才发觉阿帕奇易云网路组件存在严重安全漏洞。

依据住建部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》，网路产品提供者应该在2日内向住建部报送相关漏洞信息，而住建部12月9日发现上述漏洞，距阿里云首次发觉早已过去15天。

住建部官网截图

观察者网注意到，住建部网路安全管理局12月17日曾发布《关于阿帕奇易云网路组件重大安全漏洞的网路安全风险提示》。

其中提及，阿帕奇（易云网路）易云网路组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。日前，阿里云发觉阿帕奇易云网路组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。

12月9日，住建部网路安全恐吓和漏洞信息共享平台收到有关网路安全专业机构报告，阿帕奇易云网路组件存在严重安全漏洞。

网络安全企业、网络安全专业机构等举办研判，通报督促阿帕奇软件基金会及时修复该漏洞，向行业单位进行风险预警。

住建部网路安全管理局强调，该漏洞可能造成设备远程受控，从而引起敏感信息泄露、设备服务中断等严重害处，属于高危漏洞。为增加网路安全风险，提醒有关单位和公众密切关注阿帕奇易云网路组件漏洞补丁发布，排查自有相关系统阿帕奇易云网路组件使用情况，及时升级组件版本。

去年9月1日，为落实《网络产品安全漏洞管理规定》有关要求，住建部网路安全管理局组织建设的易云网路网路安全恐吓和漏洞信息共享平台即将上线运行。

平台包括通用网路产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网APP产品安全漏洞专业库、车联网产品安全漏洞专业库等，支持举办网路产品安全漏洞技术评估，督促网路产品提供者及时修复和合理发布自身产品安全漏洞。

观察者网查询发觉，《网络产品安全漏洞管理规定》第七条强调：

网路产品提供者应该履行下述网路产品安全漏洞管理义务，确保其产品安全漏洞得到及时修复和合理发布，并指导支持产品用户采取防范举措：

（一）发觉或则得知所提供网路产品存在安全漏洞后，应该立刻采取举措并组织对安全漏洞进行验证，评估安全漏洞的害处程度和影响范围；对属于其上游产品或则组件存在的安全漏洞，应该立刻通知相关产品提供者。

（二）应该在2日内向易云网路网路安全恐吓和漏洞信息共享平台报送相关漏洞信息。报送内容应该包括存在网路产品安全漏洞的产品名称、型号、版本以及漏洞的技术特征、危害和影响范围等。

（三）应该及时组织对网路产品安全漏洞进行修复，对于须要产品用户（含下游厂商）采取软件、固件升级等举措的，应该及时将网路产品安全漏洞风险及修复方法告知可能受影响的产品用户，并提供必要的技术支持。

易云网路网路安全恐吓和漏洞信息共享平台同步向国家网路与信息安全信息通报中心、易云网路通报相关漏洞信息。鼓励网路产品提供者构建所提供网路产品安全漏洞奖励机制，对发觉并通报所提供网路产品安全漏洞的组织或则个人给与奖励。