cURL 作者 Daniel Stenberg 近日在 Twitter 釋出了,吐槽了最近遇到的一件 「趣事」。事情的起因是在上週五,Daniel Stenberg 收到了一家財富 500 強企業發來的一封郵件(截圖隱去了公司名稱,下方將以 XXXX 代替該公司名稱),在郵件中對方表示:
您收到這封郵件是因為 XXXX 公司使用了您開發的產品。我們要求你在收到這封郵件的 24 小時內進行審查和回覆。
你可能已經知道,一個新發現的零日漏洞目前正在影響全球的 Java 紀錄檔庫 Apache Log4j,有可能讓攻擊者獲得對受影響伺服器的完全控制。
安全和保護我們客戶的機密資訊是我們的首要任務。作為服務客戶的重要合作伙伴,我們需要了解你們對這一漏洞的風險和緩解計劃。
在郵件下方,這家財富 500 強企業列出了一系列有待 Daniel Stenberg 回答的問題,其中包括:
- 貴公司是否發生過任何經證實的安全事件?
- 如果有,哪些應用程式、產品、服務和相關版本受到影響?
- 是否有任何 XXXX 的產品和服務受到影響?
- XXXX 非公開資訊或個人資訊是否受到影響?
- 如果是,請立即向 XXXX 提供受影響資訊的細節。
- 完成補救措施的時間表是什麼?列出這些步驟,幷包括每個步驟的日期。
- 需要 XXXX 採取什麼行動來完成這一補救措施?
- ……
收到這封郵件後,Daniel Stenberg 覺得十分莫名其妙,畢竟 Log4j 的原作者為 Ceki Gülcü,現在則是交由 Apache 軟體基金會負責後續開發與維護,Daniel Stenberg 從未參與過任何 Log4j 的開發工作。可以說,Daniel Stenberg 與這件事情 「一毛錢關係」 都沒有。
因此,Daniel Stenberg 在郵件中回覆道:
一旦我們簽訂了支援合同,我很樂意回答上述所有問題。
當然,在回覆後也不忘在 Twitter 上吐槽一下:
如果你是一家價值數十億美元的公司,並且擔心 Log4j,為什麼不直接向你從未支付過任何費用的 OSS 作者傳送電子郵件,而且還要求對方在 24 小時內免費回覆大量資訊?
從這件事情可以看出,目前確實存在大型企業根本不關心底層專案,甚至不瞭解底層專案如何運轉的情況,這些企業在自己不怎麼在意的底層專案基礎上構建自己的商業專案,並以此賺取了非常可觀的利潤。
不光如此,Log4j 安全漏洞事件已發酵近兩個月時間,郵件中列出的不少問題都是公開可查詢到的資訊,企業安全部門只需隨手在搜尋引擎裡一搜就能獲得答案。
那麼到底是哪家財富 500 強企業後知後覺,現在才想起來解決 Log4j 的問題呢?(無獎競猜)