阿里云发现的这个漏洞第一时间报告给了美国软件开发方 Apache 开源社区，工信部这边一直是被蒙在鼓里。

　　直到 12 月 9 日，工信部通过公开的新闻才知道了这个漏洞，时间已经过去了整整 15 天。

　　最后阿里云被暂停工信部网络安全威胁信息平台合作单位 6 个月。暂停期满后，根据整改情况，看是否要恢复其上述合作单位。

　　从阿里云被暂停工信部网络安全威胁信息平台合作单位来看，这并非是依据Log4j2漏洞对其作出的行政处罚，所以也要判断阿里云“是否作为产品提供者而发现的这一漏洞”。

　　“阿里云这次若是在自身产品中用到了这个组件，其上报的义务就比较高;若不是，那根据目前法律规定，只是鼓励上报，没有强制，”王新锐总结，“当然，这主要还是基于对公开信息的分析。考虑到这一漏洞的综合评级是‘高危’，及时向境内主管机构报告，是《网络安全法》及其配套规则的应有之意。”

　　业内普遍认为，此次规制是监管方对国内网络安全界的一次警示。

　　“仔细想想，处罚得并不重，没有彻底把阿里云剔出‘网络安全威胁信息共享平台合作单位’，只是暂停6个月;也没有对个人进行行政处罚或警告。”前述搜索引擎工程师表示，“但这无疑是一次警告，让所有从业者心中有规则，做事不逾矩。”