【JetBrains官博：将从IntelliJ平台移除Log4j的依赖】https://t.cn/A6imvAGK 从博文看，本次移除log4j的漏洞，并非担心log4j2的漏洞问题，因为基于IntelliJ平台的IDE使用的并非log4j2，而是log4j 1.2的补丁版本（移除了所有网络相关的代码）。这里DD也顺便看了一下，之前log4j核弹漏洞大爆发时候的消息，根据官方给出的公告看，其旗下大量开发工具类产品并不受影响。#csdn博文精选#

阿里云发现网络漏洞却先报给美国 把主管部门给激怒了。 1、12月22日，有关阿里的一则被处罚信息震惊业界，工信部宣布暂停阿里云的”工信部网络安全威胁信息共享平台合作单位“资格，时间为6个月。那么，到底发生了什么？阿里云冤吗？
2、首先，真没想到阿里云发现漏洞后居然没想到向中国主管部门报告。根据通报，阿里巴巴旗下的阿里云发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，
这主要是因为此次阿帕奇漏洞危害堪比“永恒之蓝”，严重性列为最高等级，影响服务器可达数亿台 ，有证据表明苹果公司的云服务皆已受到影响，推特和亚马逊也受到了攻击。此次高危漏洞带来的安全风险已经席卷全球，奥地利、新西兰、美国、德国、中国等多国相关机构相继发出了安全警告。
但是，工信部直到12月9日看到国外已遭到严重攻击才确认，因为12月9日深夜，仅一小时便收到白帽子提交的百余条该漏洞信息，到第二天10日中午12点，已发现近1万次利用该漏洞的攻击行为。

3、其次，真没想到其实中国企业已经很早就发现了这个非常严重的安全漏洞。阿里云后来也解释说，阿里云一名研发工程师发现 Log4j2 组件的一个安全 bug 。
4、另外没想到，阿里云发现这个漏洞后第一个是向美国发报告，而不是上报国家工信部，而是报给了美国人。
阿里云后来解释说，阿里云的工程师是按业界惯例以邮件方式向软件开发方 Apache 开源社区报告这一问题请求帮助。
另外，阿里云也检讨说，”因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识“
5、但实际上已经晚了，直到12月9日，工信部，在公开渠道看到奥地利和新西兰的网络安全人士预警才知道这一漏洞的存在，整整滞后了半个月时间。整个事情有点像”出口转内销“。

【阿里云回应未及时上报漏洞被处罚】阿里云在官方微信公众号发布关于开源社区Apache log4j2漏洞情况的说明。说明称，阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。

　　阿里云表示，Log4j2 是开源社区阿帕奇(Apache)旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系统开发。

　　阿里云称，近日，阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

　　阿里云表示，因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。(中新经纬APP)https://t.cn/A6xgin8p