美国掌握庞大的网络信息安全防护体系，拥有严密的信息安全处理机制。当一些软件系统出现漏洞时，有能力处理和反馈，让客户们迅速反应，防止漏洞进一步扩大。

可是美国发布新规，当发现漏洞时必须先获得许可，才能向中国分享漏洞信息。此时才明白阿里当初犯下了大错，阿里旗下的阿里云曾发现一个严重漏洞，却没有第一时间向国内工信部汇报，而是将漏洞反馈给了国外平台。

现在美国不再轻易允许漏洞分享，这会导致什么后果？美国新规之下，国产系统是否能迎来机会？

美发布新规，禁止向中国分享安全漏洞

软件产业的发展越发重要，很多关键的信息，应用都需要放在软件操作系统中。

美国是操作系统大国，软件产业的影响力不用多说，中国客户同样使用来自美国的软件产品，一直以来都保持良好的合作状态。就像中国手机厂商深入参与Android系统的定制化开发，和谷歌一起优化安卓底层系统，升级定制化安卓版本。

一旦谷歌发现系统存在漏洞，也会向中国厂商公布。但是在将来，谷歌等美企厂商就无法顺利向中国公布漏洞情况了，怎么回事？

美国发布的一则新规显示，未经审批不能向中国分享安全漏洞。

可能外界不感受不到这则新规的影响力，只是不允许分享安全漏洞，会造成什么后果呢？

如果说中国企业没有大量使用美国的软件系统也就罢了，可是在普遍运用Windows、Android等美国操作系统的情况下，如果对方的系统出现漏洞，然后又没有通报给客户厂商们，这些漏洞若没有被中国厂商及时发现，就有可能一直存在。

国内这么多的互联网大厂使用了多少美国系统软件数不胜数，如果大量的漏洞没有得到信息分享，而国外又知道这些漏洞所在，要是想做些什么，谁能阻止。这对于全球软件系统生态发展没有好处。

阿里云犯下的大错

美发现新规，才明白阿里犯下大错了，曾经的阿里率先将安全漏洞汇报给国外平台。

去年12月23日，阿里云发布公告，表示一名工程师发现了log4j2存在安全漏洞，并向软件开发商阿帕奇开源社区报告。经过对方的确认，证实这项漏洞属于高危级别。

在阿里云发布这则公告之前，其实就已经发现了漏洞的存在，但是并没有及时向工信部共享漏洞情报。直到被工信部点名暂停合作半年，阿里云才向外界公布发现并处理漏洞的情况。

从阿里云发现漏洞向国外开源软件平台汇报信息，到被工信部暂停合作并发布公告回应，期间间隔一个月。

要不是工信部收到有关网络安全专业机构的报告分析，可能就会酿成重大网络安全事件。

在这件事情上，阿里云一共犯了两个错误。第一：没有及时向工信部公布漏洞信息，缺乏管理漏洞分享的防范意识。第二：阿里云未分清主次，将漏洞信息率先提供给国外，可能促使国外黑客进行大量网络攻击。

不可否认阿里云发现漏洞是大功一件，做出漏洞分享的行动没有问题。可关键在于国外先获得了漏洞信息，就会造成国内网络安全漏洞信息不同步。美国发布新规就是为了将漏洞信息掌握在自己手中，这才知道阿里当初犯了大错，不应该主次不分。

美国新规之下，国产系统是否能迎来机会？

若阿里云发现漏洞的事件发生在现在，也许就会明白第一时间向国内汇报漏洞信息有多么重要。

别人开发的软件程序更容易发现一些问题所在，向客户分享漏洞信息是理所当然的。美国却选择藏着掖着，不再轻易分享漏洞信息。这项新规之下，国产系统是否能迎来机会呢？

估计要不了多久，全球网络安全信息技术体系会形成新的格局，中国系统市场或许会迎来独立自主的机会，建立新的信息技术市场环境。

中国众多软件厂商一起进步，在国内市场也能持续发展。别人的产品不分享漏洞，那就自己做产品。

总结

美国发布新规才知道，阿里旗下的阿里云不率先向国内分享漏洞信息是一个错误。美国开始建立新的漏洞分享机制，说明是打算竖立高墙。

没有了美国的安全漏洞信息分享，即便存在漏洞也需要客户厂商自行发现。美国故步自封，不向外界分享漏洞信息的同时，也失去了获取外界对安全漏洞的反馈。