发现 Log4j2 漏洞的程序员绩效该打 3.75 还是 3.25？

相信大家最近都看到了两个新闻，一个是 Log4j2 的漏洞事件，一个是阿里云被工信部暂停合作六个月。这两个事件的关联是因为工信部发布通告说阿里云在合作期间未及时告知合作伙伴 Log4j2 的漏洞，没有有效支撑工信部开展网络安全威胁和漏洞管理。原文如下：

事情被曝光出来后，在某乎和某脉上面也引起了广泛的讨论，主要讨论的点有两个：1. 发现漏洞的员工绩效应该是 3.75 还是 3.25？2. 阿里云的做法是否有问题。

在阿粉看来，这个问题本身应该是管理问题并非技术问题，发现漏洞的人很有可能是一线安全员，发现了一个漏洞按照业界惯例以邮件方式向软件开发方 Apache 开源社区报告这一问题请求帮助，技术人员对影响的范围不能考虑的很全面，而且公司员工那么多，并不是每个人都清楚跟工信部报告的流程，所以这大概率是管理问题。

这么来看发现漏洞的安全人员，从技术的角度来看打个 3.75 是不过分的，不过还是要看领导是什么样的人呢，毕竟带来的影响也不小，万一被穿小鞋了呢？

另外在漏洞报告到全报爆发持续了十多天的时间，这一段时间其影响范围已经明显很广泛了，这个时候阿里云却没有引起重视，未及时上报工信部，着实是有很大的问题。既然阿里云跟工信部是合作伙伴的关系，有责任和义务及时上报工信部，同时阿里云作为国内主要的云计算厂商，阿里作为国内头部企业已经不单单是一家公司，一家企业了，要承担更多的社会责任，把自身的利益跟国家的利益绑定在一起。