最近和一位在某大型國企的技術(shù)負責人朋友S兄交流時,S兄說他們正在計劃建設(shè)云平臺。由于項目規(guī)模大并且耗時長,服務(wù)他們企業(yè)對云廠商來說具有很大的標桿意義,所以在這個項目上云廠商之間競爭尤為激烈。甚至有云廠商承諾,可以開放源代碼給S兄的企業(yè),但是一些云廠商對開發(fā)源代碼這件事情持堅決反對。關(guān)于開放源代碼S兄問我如何看。我認為如果公有云廠商開放源代碼給特定客戶是極不負責任的行為,存在代碼泄漏的可能,一旦代碼泄漏將嚴重消弱用戶信心,引發(fā)用戶大量逃離。
一、什么才是云廠商的生命線?
云服務(wù)已經(jīng)成為水電一樣的基礎(chǔ),一旦出現(xiàn)問題影響巨大。
對于用戶來說,一旦出現(xiàn)安全事件,將造成嚴重損失:
2018年3月,F(xiàn)acebook數(shù)據(jù)泄露丑聞爆發(fā),股價大跌7%,市值蒸發(fā)360多億美元;
2020年2月,萬豪酒店520萬客人信息被泄露;
2020年2月,微盟的“刪庫”事件,影響業(yè)務(wù)136小時,拖累微盟業(yè)績,賠付總額達到1.16億元,微盟股價累計跌幅超20%;
2020年5月,泰國最大的移動運營商泄露83億條用戶數(shù)據(jù)記錄。
對于云廠商來說,一旦出現(xiàn)問題,將影響到千萬用戶:
2019年2月,阿里云代碼托管平臺的項目權(quán)限設(shè)置僅僅因為有歧義,用戶在上傳代碼時,可設(shè)置private、internal和public。很多開發(fā)者以為選擇“internal”,就是安全的,于是選了此選項。因此,包含萬科、咪咕音樂、51信用卡等40家企業(yè)在內(nèi)的200多個項目代碼被泄露;
2020年5月,有黑客聲稱獲取微軟公司存儲在Github私人倉庫中的大量源代碼片段,源碼大小高達63.2GB,涉及Azure、Office和Windows。
2021年3月,歐洲云計算巨頭OVH位于法國斯特拉斯堡的機房發(fā)生嚴重火災(zāi),導(dǎo)致350萬家網(wǎng)站下線,部分客戶數(shù)據(jù)丟失無法恢復(fù)。
在全球數(shù)字化轉(zhuǎn)型大潮不斷推進的背景下,企業(yè)上云步伐加快,如果云廠商的關(guān)鍵代碼泄露,哪怕黑客抓住一個漏洞,就可能造成全球范圍的宕機,大量客戶的數(shù)據(jù)泄漏,用戶將對云廠商失去信心,云廠商也將失去商業(yè)生命。
二、開放源代碼等同于軟件項目開源么?
開放代碼和通常提到的開源項目是兩回事。開源軟件項目模式通常為軟件開源,通過服務(wù)或高級功能收費。開放代碼和開源不一樣,開放代碼一般只針對特定用戶,目的是讓用戶或者合作伙伴能夠了解產(chǎn)品特性,其本質(zhì)是一種商業(yè)手段,是一種不正常的業(yè)務(wù)模式。
而且,開源軟件經(jīng)常因為使用者更新不及時,缺乏安全管理,攻擊者注入惡意代碼,分發(fā)不合規(guī)等原因出現(xiàn)安全風險。據(jù)2020年5月Synopsys公司發(fā)布的《2020 年開源安全和風險分析(OSSRA)報告》顯示,2019年審計的代碼庫中,有70%進行了開源,同比增長10%。但其中75%的代碼庫中包含已知的安全漏洞,49%的代碼庫包含高風險漏洞。
開源軟件是開放給所有人,開放代碼是給特定客戶,開發(fā)代碼給特定客戶既不是按照開源軟件項目也不是按照閉源商業(yè)軟件的模式進行安全管控,安全風險根本不可控。
三、公有云廠商開放源代碼給特定客戶,可行么?
負責任的云廠商都極度重視安全,例如 AWS曾在信息安全領(lǐng)域,面向公眾和客戶,做出過相應(yīng)的舉措和承諾。
從2011年開始,AWS每年都會發(fā)布《AWS風險與合規(guī)性》白皮書,最新一份于2020年9月發(fā)布,AWS提出公有云廠商和客戶的共擔模型,并認為安全性和合規(guī)性是AWS和客戶的共同責任。實施細則上,AWS負責保護運行所有AWS云服務(wù)的基礎(chǔ)設(shè)施,包括運行AWS云服務(wù)的硬件、軟件、網(wǎng)絡(luò)和設(shè)備??蛻糌熑斡煽蛻羲x的AWS云服務(wù)確定,這決定了客戶在履行安全責任時必須完成的配置工作量。
并且AWS還推出了一系列安全服務(wù),包括Identity & Access Management、檢測、基礎(chǔ)設(shè)施保護、數(shù)據(jù)保護、事故響應(yīng)和合規(guī)性等幾十項安全合規(guī)服務(wù)。
與AWS類似,自2017年華為云正式上線服務(wù)開始,每年也都會發(fā)布《華為云安全白皮書》,最新一份2020年8月發(fā)布。
可見,極度重視安全,負責的云廠商都不會開放源代碼給特定客戶,因為既不公平也會引入安全隱患,更不符合自己對客戶的安全承諾。
四、公有云開放源代碼,對用戶有害無益
公有云廠商一旦開放源代碼,對用戶是有害無益,這一觀點毋庸置疑。
首先,一線云廠商,通常研發(fā)團隊數(shù)千人,代碼上億行。即使開放源代碼,用戶也沒有能力沒有時間了解代碼,更不用說基于代碼做配置修改和二次開發(fā)。用戶如果有二次開發(fā)需求,不如使用云廠商的API,API對功能做了高度抽象,更簡潔易用,有實力的云廠商都提供了豐富的API。
其次,還會增加用戶法律責任。開放源代碼時,企業(yè)與云廠商必然會簽署嚴格的法律協(xié)議,對代碼的安全管理提出嚴格的要求,且會投入法律和管理成本。萬一因為管理不善,造成源代碼泄露,用戶將面對嚴重法律責任。
第三,如果出行源代碼泄漏事件,或者有源代碼的客戶可能找到軟件漏洞而對其他客戶產(chǎn)生安全隱患,這對其他客戶也是極大的不公平,會讓其他客戶出現(xiàn)巨大損失。
云市場風云變幻,為了贏得客戶,也會衍生出多種商業(yè)模式上的競爭,但產(chǎn)業(yè)發(fā)展運行的基本原則不能丟,紅線不能破,這是一個云廠商商業(yè)準則的基本操守,也是對客戶利益價值的尊重與保護。所以,開放源代碼給特定客戶,是一種極不負責的行為,我覺得還是三思而后行。
(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )