科技云報(bào)道原創(chuàng)。
這些年開(kāi)源界的風(fēng)風(fēng)雨雨,時(shí)不時(shí)撼動(dòng)著人們的內(nèi)心。
2022年,俄烏沖突導(dǎo)致全球最大的獨(dú)立開(kāi)源軟件公司SUSE、美國(guó)開(kāi)源軟件巨頭Redhat、主流開(kāi)源容器引擎Docker,紛紛宣布停止與俄羅斯的合作。
而全球最大的開(kāi)源及私有代碼項(xiàng)目托管平臺(tái)Github甚至直接限制所有俄羅斯開(kāi)發(fā)者訪問(wèn)開(kāi)源存儲(chǔ)庫(kù)。
同年,開(kāi)源軟件JavaScript被植入惡意代碼,根據(jù)判斷是否為俄羅斯IP地址,刪除用戶的任意文件內(nèi)容并替換為心形表情符號(hào)。
將目光再往前拉遠(yuǎn),在2021年末,Apache開(kāi)源日志記錄框架log4j爆發(fā)可載入史冊(cè)的核彈級(jí)漏洞,攻擊者僅需一行代碼便可不留痕跡地控制并接管服務(wù)器,導(dǎo)致90%的java開(kāi)發(fā)平臺(tái)遭受危機(jī)。
覆巢之下,焉有完卵?一向推崇“自由、平等、相互尊重”原則的開(kāi)源技術(shù),在復(fù)雜國(guó)際環(huán)境疊加天生殘缺的安全性時(shí),早已變得混沌不清。
重重迷霧之下,這些令人膽戰(zhàn)心驚的記錄,讓開(kāi)源界一次次感到震驚的同時(shí),也為崇尚開(kāi)源的中國(guó)企業(yè)敲響了警鐘。
在當(dāng)今中國(guó)發(fā)展格局之上,數(shù)據(jù)存力建設(shè)的重要程度不言而喻。存儲(chǔ)既是數(shù)字世界生生不息的最關(guān)鍵載體,更是守護(hù)數(shù)據(jù)安全與信息資產(chǎn)的最后一道防線。
然而,事實(shí)令人些許悲觀。
多年以來(lái),中國(guó)信息存儲(chǔ)技術(shù)仍落后于西方。那些被稱(chēng)為“國(guó)產(chǎn)”的存儲(chǔ)中,又有一大半是基于Ceph、Lustre等國(guó)外開(kāi)源技術(shù)進(jìn)行二次開(kāi)發(fā),正在大行其道、充斥于世。
在中國(guó)飛速向前奔跑的背影中,這種顫顫巍巍的技術(shù)堆棧方式,并不在少數(shù)。
危機(jī)之下,作為中國(guó)數(shù)字產(chǎn)業(yè)根基的存儲(chǔ),眼前橫亙著一場(chǎng)叩問(wèn)靈魂的興衰戰(zhàn)役。到底有多少國(guó)產(chǎn)存儲(chǔ)在“掛羊頭、賣(mài)狗肉”?開(kāi)源存儲(chǔ)又該何去何從?
“披著羊皮的狼”? 何時(shí)露出兇光?
眾所周知,存儲(chǔ)是一門(mén)技術(shù)艱深的領(lǐng)域,任何一家企業(yè)想要自研一款存款產(chǎn)品,往往需要長(zhǎng)達(dá)十余年的技術(shù)研發(fā)積累。
但隨著開(kāi)源技術(shù)的爆發(fā),Ceph、HDFS、Swift、Lustre、GlusterFS等國(guó)外開(kāi)源技術(shù)的涌現(xiàn),讓很多國(guó)內(nèi)創(chuàng)業(yè)公司以及缺乏足夠技術(shù)底蘊(yùn)的企業(yè),在短短幾年內(nèi)就摘得了分布式存儲(chǔ)這一新船票。
不僅如此,這些公司的做法也十分粗暴。
他們通過(guò)對(duì)Ceph等開(kāi)源代碼簡(jiǎn)單的包裝、套殼等手段,實(shí)現(xiàn)了所謂的“自研”存儲(chǔ),并以商業(yè)軟件的名義對(duì)外出售。
早在2015-2016年,國(guó)內(nèi)誕生了一批這樣的國(guó)產(chǎn)存儲(chǔ)創(chuàng)業(yè)公司,比如業(yè)內(nèi)較為知名的X公司、S公司,都美曰其名“自研”,但實(shí)際上“自主可控”的成分有多少,恐怕只有廠商自己清楚。
一浪高過(guò)一浪,在看見(jiàn)有人嘗到開(kāi)源存儲(chǔ)的甜頭后,國(guó)內(nèi)不少大廠居然也加入了分布式存儲(chǔ)的陣營(yíng)。
但苦于傳統(tǒng)存儲(chǔ)技術(shù)積淀薄弱,又急于搶占新的市場(chǎng)份額,這些大廠的做法就更為直接。
典型如L廠、X廠,就通過(guò)加入Ceph等開(kāi)源基金會(huì)、對(duì)Ceph等開(kāi)源代碼進(jìn)行二次開(kāi)發(fā)和優(yōu)化、不斷提升對(duì)各主流開(kāi)源社區(qū)貢獻(xiàn)度的方式,來(lái)快速獲取分布式存儲(chǔ)的市場(chǎng)地位。
畢竟,來(lái)不及投入工程師人力潛心開(kāi)發(fā),那站在國(guó)外開(kāi)源巨頭的肩膀上踮踮腳,就成為一條捷徑。
盡管借助開(kāi)源能夠在短時(shí)間內(nèi)解決“從無(wú)到有”的問(wèn)題,但是開(kāi)源存儲(chǔ)軟件面臨的商業(yè)化與安全挑戰(zhàn),并不是一時(shí)半會(huì)兒能解決的。
首先,開(kāi)源存儲(chǔ)代碼漏洞頻發(fā),被攻擊的風(fēng)險(xiǎn)持續(xù)加大。
根據(jù)美國(guó)新思科技(Synopsys公司)的《2023年開(kāi)源安全和風(fēng)險(xiǎn)分析報(bào)告》統(tǒng)計(jì),在審查的1700多個(gè)商業(yè)軟件代碼庫(kù)中,96%包含開(kāi)源代碼,84%代碼庫(kù)有漏洞,且高達(dá)48%包含至少一個(gè)高風(fēng)險(xiǎn)漏洞。
我們觀察到,自2016年以來(lái),國(guó)際最權(quán)威的漏洞披露社區(qū)CVE官網(wǎng)上,已公開(kāi)的Ceph嚴(yán)重級(jí)漏洞高達(dá)45個(gè),而Ceph官網(wǎng)顯示這些漏洞已修復(fù)的數(shù)量?jī)H31個(gè)。
這個(gè)數(shù)據(jù)令人擔(dān)憂,就好比一座跨越峽谷卻未修建妥善的棧橋,當(dāng)勇士們大步流星時(shí)突然踩空,便墜入峭壁下的萬(wàn)丈深淵。
在已披露的中高風(fēng)險(xiǎn)與嚴(yán)重風(fēng)險(xiǎn)評(píng)級(jí)漏洞中,最典型的是這三大類(lèi):密碼/密鑰未進(jìn)行加密便直接存儲(chǔ),導(dǎo)致敏感信息極容易被泄露、被入侵者利用;訪問(wèn)接口時(shí)缺少完整的認(rèn)證和授權(quán),導(dǎo)致任何人都可以隨意進(jìn)行數(shù)據(jù)訪問(wèn);采用易受攻擊的公開(kāi)協(xié)議或操作系統(tǒng),大幅增加了利用已知漏洞攻擊系統(tǒng)的風(fēng)險(xiǎn)。
這很難不懷疑,Ceph自身在數(shù)據(jù)機(jī)密性、訪問(wèn)控制、軟件級(jí)運(yùn)行安全方面存在難以預(yù)知的缺陷,存儲(chǔ)層引發(fā)的數(shù)據(jù)丟失及服務(wù)不可用的可能性不言而喻。
同時(shí),Ceph引用了大量老舊開(kāi)源軟件,很多漏洞未被解決。有開(kāi)發(fā)者分析過(guò)Ceph V17.2.1版本,發(fā)現(xiàn)其直接或間接引入了50多款開(kāi)源軟件。
由于社區(qū)對(duì)老版本幾乎不會(huì)投入資源進(jìn)行維護(hù),未被及時(shí)修復(fù)的安全漏洞和嚴(yán)重功能問(wèn)題,都有可能被利用成為被攻擊對(duì)象。
與對(duì)單個(gè)端點(diǎn)或服務(wù)器的網(wǎng)絡(luò)攻擊不同,針對(duì)存儲(chǔ)系統(tǒng)的攻擊具有更大的破壞性,一個(gè)存儲(chǔ)系統(tǒng)的漏洞就可能導(dǎo)致數(shù)千臺(tái)服務(wù)器停機(jī),業(yè)務(wù)中斷若干小時(shí)或若干天,并清除數(shù)PB的數(shù)據(jù)。
過(guò)去三年,針對(duì)企業(yè)數(shù)據(jù)的勒索軟件攻擊的日益增加,這是一個(gè)可怕的前景。
其次,開(kāi)源存儲(chǔ)代碼漏洞披露不可控。
2022年6月,美國(guó)商務(wù)部工業(yè)和安全局(BIS)針對(duì)網(wǎng)絡(luò)安全領(lǐng)域的出口管制要求表示,在美國(guó)實(shí)體與中國(guó)政府相關(guān)的組織和個(gè)人合作時(shí),若發(fā)現(xiàn)安全漏洞和信息,禁止直接公布,必須先經(jīng)過(guò)美國(guó)商務(wù)部審核。
Ceph作為開(kāi)源存儲(chǔ)軟件的代表,自然也被要求遵循這條新規(guī)。
從歷史上看,Ceph每年都有近10個(gè)中高風(fēng)險(xiǎn)漏洞披露,這意味著從此之后,任何漏洞信息都幾乎無(wú)法被國(guó)內(nèi)存儲(chǔ)客戶所知曉并修復(fù),妄圖從根源上主動(dòng)管理更是化為泡影。
可以說(shuō),中國(guó)大量采用Ceph系統(tǒng)作為數(shù)據(jù)底座的企業(yè)們,正在風(fēng)云莫測(cè)的國(guó)際形勢(shì)中面對(duì)“數(shù)據(jù)裸奔”的無(wú)聲威脅。
這自始至終是一場(chǎng)不對(duì)稱(chēng)信息打擊的同臺(tái)競(jìng)技,更是一場(chǎng)中國(guó)企業(yè)捆綁著定時(shí)炸彈的縛足攀巖。
最后,開(kāi)源存儲(chǔ)軟件無(wú)法持續(xù)演進(jìn)的可能性大。
Ceph被美國(guó)Redhat收購(gòu)后,法律仲裁歸屬美國(guó)加州,Ceph屬于Linux社區(qū)的特例,受到美國(guó)出口管控。
目前,美國(guó)仍在進(jìn)一步加強(qiáng)開(kāi)源軟件的保護(hù)及管控,美國(guó)白宮與開(kāi)源組織、科技巨頭共同推動(dòng)1.5億美元開(kāi)源軟件保護(hù)計(jì)劃,以加強(qiáng)美國(guó)的開(kāi)源安全。
這一系列動(dòng)作都讓人明白了那句話——代碼無(wú)國(guó)界,但寫(xiě)代碼的人有國(guó)界。從俄烏沖突經(jīng)驗(yàn)來(lái)看,政治原因已經(jīng)導(dǎo)致開(kāi)源軟件不再可用,Ceph為首的開(kāi)源存儲(chǔ)軟件也存在斷供與卡脖子的風(fēng)險(xiǎn)。
如果國(guó)內(nèi)關(guān)鍵基礎(chǔ)設(shè)施的存儲(chǔ)系統(tǒng)使用Ceph來(lái)構(gòu)建,那么極有可能無(wú)法獲得后續(xù)更新迭代,全數(shù)據(jù)業(yè)務(wù)系統(tǒng)隨時(shí)可能面臨斷供,對(duì)將來(lái)的工具更新、平臺(tái)演進(jìn)、甚至國(guó)家核心技術(shù)的發(fā)展都將造成極高威脅。
如同高懸在頭頂上的達(dá)摩克利斯之劍,讓人不寒而栗。
固守還是激變?國(guó)產(chǎn)存儲(chǔ)更需“國(guó)魂”
在國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展大戰(zhàn)略下,數(shù)據(jù)作為生產(chǎn)要素已成為重要資產(chǎn),數(shù)據(jù)存力作為數(shù)據(jù)基礎(chǔ)設(shè)施的核心組成部分,支撐著全國(guó)數(shù)據(jù)價(jià)值的釋放,更事關(guān)國(guó)家的信息安全。
因此,今年兩會(huì)上,就曾有人大代表呼吁加快“國(guó)芯國(guó)魂”產(chǎn)品的應(yīng)用,破解“卡脖子”問(wèn)題:“我國(guó)要有獨(dú)立的存儲(chǔ)產(chǎn)業(yè)‘強(qiáng)鏈補(bǔ)鏈’規(guī)劃,構(gòu)建存儲(chǔ)產(chǎn)業(yè)生態(tài)體系和產(chǎn)業(yè)鏈,并加速自主創(chuàng)新能力提升、國(guó)芯國(guó)魂產(chǎn)品應(yīng)用,實(shí)現(xiàn)真正自主可控”。
盡管理想豐滿,但打造“國(guó)芯國(guó)魂”的數(shù)據(jù)基礎(chǔ)設(shè)施并不能一蹴而就,而是需要政產(chǎn)學(xué)研用的多方合力:
政策層面,推進(jìn)先進(jìn)自主自研產(chǎn)品的應(yīng)用,建立開(kāi)源軟件供應(yīng)鏈安全治理機(jī)制,勢(shì)在必行。
農(nóng)工黨對(duì)此提出過(guò)四大建議:一是,在新型數(shù)據(jù)中心、關(guān)鍵信息基礎(chǔ)設(shè)施等建設(shè)中鼓勵(lì)使用先進(jìn)自主自研存儲(chǔ)產(chǎn)品,限制國(guó)外開(kāi)源代碼(Ceph、Lustre等)使用比例;二是,健全漏洞風(fēng)險(xiǎn)的自主治理能力;三是,建立軟件產(chǎn)品安全可信測(cè)評(píng)體系;四是,積極推進(jìn)具有檢測(cè)技術(shù)和檢測(cè)能力的存儲(chǔ)認(rèn)證機(jī)構(gòu)的建設(shè)。
也有專(zhuān)家建議,在涉及到國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)的領(lǐng)域設(shè)置準(zhǔn)入機(jī)制,慎重使用沒(méi)有掌握核心技術(shù)的供應(yīng)商。對(duì)于那些掌握核心代碼、具有安全管控能力的廠商,可以予以更多支持。
產(chǎn)業(yè)層面,存儲(chǔ)廠商及相關(guān)研究機(jī)構(gòu)應(yīng)喚醒自主創(chuàng)新、自研可控的意識(shí)。
例如,在存儲(chǔ)軟件的開(kāi)發(fā)、維護(hù)等活動(dòng)中做好安全需求分析、安全設(shè)計(jì)、安全編碼、安全測(cè)試、漏洞修補(bǔ)等工作,真正做到清本溯源,掌握核心代碼,提高產(chǎn)品安全能力,實(shí)現(xiàn)存儲(chǔ)產(chǎn)品的可信安全。
用戶層面,建立軟件供應(yīng)鏈安全全流程治理體系,提升自身的軟件安全治理能力,成為大勢(shì)所趨。
企業(yè)用戶必須意識(shí)到,在信息技術(shù)發(fā)展、穩(wěn)定夯實(shí)數(shù)據(jù)基座的征程之上,唯有“國(guó)芯國(guó)魂”的數(shù)據(jù)基礎(chǔ)設(shè)施才能作為我國(guó)信息發(fā)展的重要引擎。
所以,有計(jì)劃、分批次、逐步替換Ceph等開(kāi)源存儲(chǔ)軟件,需要各行各業(yè)的持續(xù)與堅(jiān)定。
在破除開(kāi)源Ceph的桎梏后,存儲(chǔ)還需進(jìn)一步摒棄軟硬解耦建設(shè),轉(zhuǎn)向軟硬一體的全棧自主可控。
這才稱(chēng)得上是真正的“國(guó)芯國(guó)魂”數(shù)據(jù)基礎(chǔ)設(shè)施,從根本上摧毀數(shù)字時(shí)代的“特洛伊木馬”。
所有人都知道,這是一件艱難而正確的事,但正如荀子所言“先義而后利者榮”,掙脫開(kāi)源基礎(chǔ)設(shè)施的枷鎖,將為國(guó)家與時(shí)代筑起一條護(hù)城長(zhǎng)河。
結(jié)語(yǔ)
天下從來(lái)沒(méi)有免費(fèi)的午餐。風(fēng)雨飄搖中,那些披著開(kāi)源外衣的“國(guó)產(chǎn)”存儲(chǔ)產(chǎn)品并沒(méi)有想象中的那么安全。
如今,在以基礎(chǔ)軟硬件替代為重點(diǎn)方向的新一輪自主可控浪潮正在掀起。
我們堅(jiān)信,不久的未來(lái),在企業(yè)用戶和科技廠商彼此信任地?cái)y手中,將迎來(lái)真正的“國(guó)芯國(guó)魂”。
來(lái)源:科技云報(bào)道
免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個(gè)人觀點(diǎn),與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 100億美元史上最大融資的背后,國(guó)內(nèi)外巨頭齊瞄準(zhǔn)Data+AI
- 有一種羨慕叫“別人家的年終獎(jiǎng)”:京東采銷(xiāo)平均23薪,全網(wǎng)熱議“人的價(jià)值”
- 行業(yè)首個(gè)“人機(jī)大戰(zhàn)”對(duì)壘!AI翻譯已媲美人工
- 蘋(píng)果開(kāi)啟年終大促,降價(jià)1200元,被國(guó)產(chǎn)手機(jī)嚇怕了?
- 1999 元起,OPPO A5 Pro 超防水、超抗摔、超耐用
- 長(zhǎng)三角,如何把數(shù)據(jù)要素變成新長(zhǎng)江?
- 大模型,在內(nèi)卷中尋找出口
- 比亞迪“天神之眼”重磅升級(jí):無(wú)圖城市領(lǐng)航功能全國(guó)開(kāi)通
- 不愿成為微信的支付寶,注定失敗
- 大廠年終獎(jiǎng)全靠猜?京東帶頭透明化
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。