數(shù)據(jù)泄露頻發(fā)，云廠商開放源代碼是“順勢”還是“作妖”

最近和一位在某大型國企的技術(shù)負(fù)責(zé)人朋友S兄交流時(shí)，S兄說他們正在計(jì)劃建設(shè)云平臺。由于項(xiàng)目規(guī)模大并且耗時(shí)長，服務(wù)他們企業(yè)對云廠商來說具有很大的標(biāo)桿意義，所以在這個項(xiàng)目上云廠商之間競爭尤為激烈。甚至有云廠商承諾，可以開放源代碼給S兄的企業(yè)，但是一些云廠商對開發(fā)源代碼這件事情持堅(jiān)決反對。關(guān)于開放源代碼S兄問我如何看。我認(rèn)為如果公有云廠商開放源代碼給特定客戶是極不負(fù)責(zé)任的行為，存在代碼泄漏的可能，一旦代碼泄漏將嚴(yán)重消弱用戶信心，引發(fā)用戶大量逃離。

一、什么才是云廠商的生命線？

云服務(wù)已經(jīng)成為水電一樣的基礎(chǔ)，一旦出現(xiàn)問題影響巨大。

對于用戶來說，一旦出現(xiàn)安全事件，將造成嚴(yán)重?fù)p失：

2018年3月，F(xiàn)acebook數(shù)據(jù)泄露丑聞爆發(fā)，股價(jià)大跌7%，市值蒸發(fā)360多億美元;

2020年2月，萬豪酒店520萬客人信息被泄露;

2020年2月，微盟的“刪庫”事件，影響業(yè)務(wù)136小時(shí)，拖累微盟業(yè)績，賠付總額達(dá)到1.16億元，微盟股價(jià)累計(jì)跌幅超20%;

2020年5月，泰國最大的移動運(yùn)營商泄露83億條用戶數(shù)據(jù)記錄。

對于云廠商來說，一旦出現(xiàn)問題，將影響到千萬用戶：

2019年2月，阿里云代碼托管平臺的項(xiàng)目權(quán)限設(shè)置僅僅因?yàn)橛衅缌x，用戶在上傳代碼時(shí)，可設(shè)置private、internal和public。很多開發(fā)者以為選擇“internal”，就是安全的，于是選了此選項(xiàng)。因此，包含萬科、咪咕音樂、51信用卡等40家企業(yè)在內(nèi)的200多個項(xiàng)目代碼被泄露;

2020年5月，有黑客聲稱獲取微軟公司存儲在Github私人倉庫中的大量源代碼片段，源碼大小高達(dá)63.2GB，涉及Azure、Office和Windows。

2021年3月，歐洲云計(jì)算巨頭OVH位于法國斯特拉斯堡的機(jī)房發(fā)生嚴(yán)重火災(zāi)，導(dǎo)致350萬家網(wǎng)站下線，部分客戶數(shù)據(jù)丟失無法恢復(fù)。

在全球數(shù)字化轉(zhuǎn)型大潮不斷推進(jìn)的背景下，企業(yè)上云步伐加快，如果云廠商的關(guān)鍵代碼泄露，哪怕黑客抓住一個漏洞，就可能造成全球范圍的宕機(jī)，大量客戶的數(shù)據(jù)泄漏，用戶將對云廠商失去信心，云廠商也將失去商業(yè)生命。

二、開放源代碼等同于軟件項(xiàng)目開源么？

開放代碼和通常提到的開源項(xiàng)目是兩回事。開源軟件項(xiàng)目模式通常為軟件開源，通過服務(wù)或高級功能收費(fèi)。開放代碼和開源不一樣，開放代碼一般只針對特定用戶，目的是讓用戶或者合作伙伴能夠了解產(chǎn)品特性，其本質(zhì)是一種商業(yè)手段，是一種不正常的業(yè)務(wù)模式。

而且，開源軟件經(jīng)常因?yàn)槭褂谜吒虏患皶r(shí)，缺乏安全管理，攻擊者注入惡意代碼，分發(fā)不合規(guī)等原因出現(xiàn)安全風(fēng)險(xiǎn)。據(jù)2020年5月Synopsys公司發(fā)布的《2020 年開源安全和風(fēng)險(xiǎn)分析(OSSRA)報(bào)告》顯示，2019年審計(jì)的代碼庫中，有70%進(jìn)行了開源，同比增長10%。但其中75%的代碼庫中包含已知的安全漏洞，49%的代碼庫包含高風(fēng)險(xiǎn)漏洞。

開源軟件是開放給所有人，開放代碼是給特定客戶，開發(fā)代碼給特定客戶既不是按照開源軟件項(xiàng)目也不是按照閉源商業(yè)軟件的模式進(jìn)行安全管控，安全風(fēng)險(xiǎn)根本不可控。

三、公有云廠商開放源代碼給特定客戶，可行么？

負(fù)責(zé)任的云廠商都極度重視安全，例如 AWS曾在信息安全領(lǐng)域，面向公眾和客戶，做出過相應(yīng)的舉措和承諾。

從2011年開始，AWS每年都會發(fā)布《AWS風(fēng)險(xiǎn)與合規(guī)性》白皮書，最新一份于2020年9月發(fā)布，AWS提出公有云廠商和客戶的共擔(dān)模型，并認(rèn)為安全性和合規(guī)性是AWS和客戶的共同責(zé)任。實(shí)施細(xì)則上，AWS負(fù)責(zé)保護(hù)運(yùn)行所有AWS云服務(wù)的基礎(chǔ)設(shè)施，包括運(yùn)行AWS云服務(wù)的硬件、軟件、網(wǎng)絡(luò)和設(shè)備。客戶責(zé)任由客戶所選的AWS云服務(wù)確定，這決定了客戶在履行安全責(zé)任時(shí)必須完成的配置工作量。

并且AWS還推出了一系列安全服務(wù)，包括Identity & Access Management、檢測、基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)保護(hù)、事故響應(yīng)和合規(guī)性等幾十項(xiàng)安全合規(guī)服務(wù)。

與AWS類似，自2017年華為云正式上線服務(wù)開始，每年也都會發(fā)布《華為云安全白皮書》，最新一份2020年8月發(fā)布。

可見，極度重視安全，負(fù)責(zé)的云廠商都不會開放源代碼給特定客戶，因?yàn)榧炔还揭矔氚踩[患，更不符合自己對客戶的安全承諾。

四、公有云開放源代碼，對用戶有害無益

公有云廠商一旦開放源代碼，對用戶是有害無益，這一觀點(diǎn)毋庸置疑。

首先，一線云廠商，通常研發(fā)團(tuán)隊(duì)數(shù)千人，代碼上億行。即使開放源代碼，用戶也沒有能力沒有時(shí)間了解代碼，更不用說基于代碼做配置修改和二次開發(fā)。用戶如果有二次開發(fā)需求，不如使用云廠商的API，API對功能做了高度抽象，更簡潔易用，有實(shí)力的云廠商都提供了豐富的API。

其次，還會增加用戶法律責(zé)任。開放源代碼時(shí)，企業(yè)與云廠商必然會簽署嚴(yán)格的法律協(xié)議，對代碼的安全管理提出嚴(yán)格的要求，且會投入法律和管理成本。萬一因?yàn)楣芾聿簧?，造成源代碼泄露，用戶將面對嚴(yán)重法律責(zé)任。

第三，如果出行源代碼泄漏事件，或者有源代碼的客戶可能找到軟件漏洞而對其他客戶產(chǎn)生安全隱患，這對其他客戶也是極大的不公平，會讓其他客戶出現(xiàn)巨大損失。

云市場風(fēng)云變幻，為了贏得客戶，也會衍生出多種商業(yè)模式上的競爭，但產(chǎn)業(yè)發(fā)展運(yùn)行的基本原則不能丟，紅線不能破，這是一個云廠商商業(yè)準(zhǔn)則的基本操守，也是對客戶利益價(jià)值的尊重與保護(hù)。所以，開放源代碼給特定客戶，是一種極不負(fù)責(zé)的行為，我覺得還是三思而后行。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）