這些年開源界的風風雨雨，時不時撼動著人們的內(nèi)心。

2022年，俄烏沖突導致全球最大的獨立開源軟件公司SUSE、美國開源軟件巨頭Redhat、主流開源容器引擎Docker，紛紛宣布停止與俄羅斯的合作。

而全球最大的開源及私有代碼項目托管平臺Github甚至直接限制所有俄羅斯開發(fā)者訪問開源存儲庫。

同年，開源軟件JavaScript被植入惡意代碼，根據(jù)判斷是否為俄羅斯IP地址，刪除用戶的任意文件內(nèi)容并替換為心形表情符號。

將目光再往前拉遠，在2021年末，Apache開源日志記錄框架log4j爆發(fā)可載入史冊的核彈級漏洞，攻擊者僅需一行代碼便可不留痕跡地控制并接管服務器，導致90%的java開發(fā)平臺遭受危機。

覆巢之下，焉有完卵？一向推崇“自由、平等、相互尊重”原則的開源技術，在復雜國際環(huán)境疊加天生殘缺的安全性時，早已變得混沌不清。

重重迷霧之下，這些令人膽戰(zhàn)心驚的記錄，讓開源界一次次感到震驚的同時，也為崇尚開源的中國企業(yè)敲響了警鐘。

在當今中國發(fā)展格局之上，數(shù)據(jù)存力建設的重要程度不言而喻。存儲既是數(shù)字世界生生不息的最關鍵載體，更是守護數(shù)據(jù)安全與信息資產(chǎn)的最后一道防線。

然而，事實令人些許悲觀。

多年以來，中國信息存儲技術仍落后于西方。那些被稱為“國產(chǎn)”的存儲中，又有一大半是基于Ceph、Lustre等國外開源技術進行二次開發(fā)，正在大行其道、充斥于世。

在中國飛速向前奔跑的背影中，這種顫顫巍巍的技術堆棧方式，并不在少數(shù)。

危機之下，作為中國數(shù)字產(chǎn)業(yè)根基的存儲，眼前橫亙著一場叩問靈魂的興衰戰(zhàn)役。到底有多少國產(chǎn)存儲在“掛羊頭、賣狗肉”？開源存儲又該何去何從？

“披著羊皮的狼”? ?何時露出兇光？

眾所周知，存儲是一門技術艱深的領域，任何一家企業(yè)想要自研一款存款產(chǎn)品，往往需要長達十余年的技術研發(fā)積累。

但隨著開源技術的爆發(fā)，Ceph、HDFS、Swift、Lustre、GlusterFS等國外開源技術的涌現(xiàn)，讓很多國內(nèi)創(chuàng)業(yè)公司以及缺乏足夠技術底蘊的企業(yè)，在短短幾年內(nèi)就摘得了分布式存儲這一新船票。

不僅如此，這些公司的做法也十分粗暴。他們通過對Ceph等開源代碼簡單的包裝、套殼等手段，實現(xiàn)了所謂的“自研”存儲，并以商業(yè)軟件的名義對外出售。

早在2015-2016年，國內(nèi)誕生了一批這樣的國產(chǎn)存儲創(chuàng)業(yè)公司，比如業(yè)內(nèi)較為知名的X公司、S公司，都美曰其名“自研”，但實際上“自主可控”的成分有多少，恐怕只有廠商自己清楚。

一浪高過一浪，在看見有人嘗到開源存儲的甜頭后，國內(nèi)不少大廠居然也加入了分布式存儲的陣營。但苦于傳統(tǒng)存儲技術積淀薄弱，又急于搶占新的市場份額，這些大廠的做法就更為直接。典型如L廠、X廠，就通過加入Ceph等開源基金會、對Ceph等開源代碼進行二次開發(fā)和優(yōu)化、不斷提升對各主流開源社區(qū)貢獻度的方式，來快速獲取分布式存儲的市場地位。畢竟，來不及投入工程師人力潛心開發(fā)，那站在國外開源巨頭的肩膀上踮踮腳，就成為一條捷徑。

盡管借助開源能夠在短時間內(nèi)解決“從無到有”的問題，但是開源存儲軟件面臨的商業(yè)化與安全挑戰(zhàn)，并不是一時半會兒能解決的。

首先，開源存儲代碼漏洞頻發(fā)，被攻擊的風險持續(xù)加大。

根據(jù)美國新思科技（Synopsys公司）的《2023年開源安全和風險分析報告》統(tǒng)計，在審查的1700多個商業(yè)軟件代碼庫中，96%包含開源代碼，84%代碼庫有漏洞，且高達48%包含至少一個高風險漏洞。

我們觀察到，自2016年以來，國際最權威的漏洞披露社區(qū)CVE官網(wǎng)上，已公開的Ceph嚴重級漏洞高達45個，而Ceph官網(wǎng)顯示這些漏洞已修復的數(shù)量僅31個。

這個數(shù)據(jù)令人擔憂，就好比一座跨越峽谷卻未修建妥善的棧橋，當勇士們大步流星時突然踩空，便墜入峭壁下的萬丈深淵。

在已披露的中高風險與嚴重風險評級漏洞中，最典型的是這三大類：密碼/密鑰未進行加密便直接存儲，導致敏感信息極容易被泄露、被入侵者利用；訪問接口時缺少完整的認證和授權，導致任何人都可以隨意進行數(shù)據(jù)訪問；采用易受攻擊的公開協(xié)議或操作系統(tǒng)，大幅增加了利用已知漏洞攻擊系統(tǒng)的風險。

這很難不懷疑，Ceph自身在數(shù)據(jù)機密性、訪問控制、軟件級運行安全方面存在難以預知的缺陷，存儲層引發(fā)的數(shù)據(jù)丟失及服務不可用的可能性不言而喻。

同時，Ceph引用了大量老舊開源軟件，很多漏洞未被解決。有開發(fā)者分析過Ceph V17.2.1版本，發(fā)現(xiàn)其直接或間接引入了50多款開源軟件。

由于社區(qū)對老版本幾乎不會投入資源進行維護，未被及時修復的安全漏洞和嚴重功能問題，都有可能被利用成為被攻擊對象。與對單個端點或服務器的網(wǎng)絡攻擊不同，針對存儲系統(tǒng)的攻擊具有更大的破壞性，一個存儲系統(tǒng)的漏洞就可能導致數(shù)千臺服務器停機，業(yè)務中斷若干小時或若干天，并清除數(shù)PB的數(shù)據(jù)。過去三年，針對企業(yè)數(shù)據(jù)的勒索軟件攻擊的日益增加，這是一個可怕的前景。

其次，開源存儲代碼漏洞披露不可控。

2022年6月，美國商務部工業(yè)和安全局（BIS）針對網(wǎng)絡安全領域的出口管制要求表示，在美國實體與中國政府相關的組織和個人合作時，若發(fā)現(xiàn)安全漏洞和信息，禁止直接公布，必須先經(jīng)過美國商務部審核。

Ceph作為開源存儲軟件的代表，自然也被要求遵循這條新規(guī)。

從歷史上看，Ceph每年都有近10個中高風險漏洞披露，這意味著從此之后，任何漏洞信息都幾乎無法被國內(nèi)存儲客戶所知曉并修復，妄圖從根源上主動管理更是化為泡影。

可以說，中國大量采用Ceph系統(tǒng)作為數(shù)據(jù)底座的企業(yè)們，正在風云莫測的國際形勢中面對“數(shù)據(jù)裸奔”的無聲威脅。

這自始至終是一場不對稱信息打擊的同臺競技，更是一場中國企業(yè)捆綁著定時炸彈的縛足攀巖。

最后，開源存儲軟件無法持續(xù)演進的可能性大。

Ceph被美國Redhat收購后，法律仲裁歸屬美國加州，Ceph屬于Linux社區(qū)的特例，受到美國出口管控。目前，美國仍在進一步加強開源軟件的保護及管控，美國白宮與開源組織、科技巨頭共同推動1.5億美元開源軟件保護計劃，以加強美國的開源安全。

這一系列動作都讓人明白了那句話——代碼無國界，但寫代碼的人有國界。從俄烏沖突經(jīng)驗來看，政治原因已經(jīng)導致開源軟件不再可用，Ceph為首的開源存儲軟件也存在斷供與卡脖子的風險。

如果國內(nèi)關鍵基礎設施的存儲系統(tǒng)使用Ceph來構建，那么極有可能無法獲得后續(xù)更新迭代，全數(shù)據(jù)業(yè)務系統(tǒng)隨時可能面臨斷供，對將來的工具更新、平臺演進、甚至國家核心技術的發(fā)展都將造成極高威脅。如同高懸在頭頂上的達摩克利斯之劍，讓人不寒而栗。

固守還是激變？國產(chǎn)存儲更需“國魂”

在國家數(shù)字經(jīng)濟發(fā)展大戰(zhàn)略下，數(shù)據(jù)作為生產(chǎn)要素已成為重要資產(chǎn)，數(shù)據(jù)存力作為數(shù)據(jù)基礎設施的核心組成部分，支撐著全國數(shù)據(jù)價值的釋放，更事關國家的信息安全。因此，今年兩會上，就曾有人大代表呼吁加快“國芯國魂”產(chǎn)品的應用，破解“卡脖子”問題：“我國要有獨立的存儲產(chǎn)業(yè)‘強鏈補鏈’規(guī)劃，構建存儲產(chǎn)業(yè)生態(tài)體系和產(chǎn)業(yè)鏈，并加速自主創(chuàng)新能力提升、國芯國魂產(chǎn)品應用，實現(xiàn)真正自主可控”。

盡管理想豐滿，但打造“國芯國魂”的數(shù)據(jù)基礎設施并不能一蹴而就，而是需要政產(chǎn)學研用的多方合力：

政策層面，推進先進自主自研產(chǎn)品的應用，建立開源軟件供應鏈安全治理機制，勢在必行。

農(nóng)工黨對此提出過四大建議：一是，在新型數(shù)據(jù)中心、關鍵信息基礎設施等建設中鼓勵使用先進自主自研存儲產(chǎn)品，限制國外開源代碼（Ceph、Lustre等）使用比例；二是，健全漏洞風險的自主治理能力；三是，建立軟件產(chǎn)品安全可信測評體系；四是，積極推進具有檢測技術和檢測能力的存儲認證機構的建設。

也有專家建議，在涉及到國家關鍵信息基礎設施建設的領域設置準入機制，慎重使用沒有掌握核心技術的供應商。對于那些掌握核心代碼、具有安全管控能力的廠商，可以予以更多支持。

產(chǎn)業(yè)層面，存儲廠商及相關研究機構應喚醒自主創(chuàng)新、自研可控的意識。

例如，在存儲軟件的開發(fā)、維護等活動中做好安全需求分析、安全設計、安全編碼、安全測試、漏洞修補等工作，真正做到清本溯源，掌握核心代碼，提高產(chǎn)品安全能力，實現(xiàn)存儲產(chǎn)品的可信安全。

用戶層面，建立軟件供應鏈安全全流程治理體系，提升自身的軟件安全治理能力，成為大勢所趨。

企業(yè)用戶必須意識到，在信息技術發(fā)展、穩(wěn)定夯實數(shù)據(jù)基座的征程之上，唯有“國芯國魂”的數(shù)據(jù)基礎設施才能作為我國信息發(fā)展的重要引擎。

所以，有計劃、分批次、逐步替換Ceph等開源存儲軟件，需要各行各業(yè)的持續(xù)與堅定。

在破除開源Ceph的桎梏后，存儲還需進一步摒棄軟硬解耦建設，轉(zhuǎn)向軟硬一體的全棧自主可控。

這才稱得上是真正的“國芯國魂”數(shù)據(jù)基礎設施，從根本上摧毀數(shù)字時代的“特洛伊木馬”。

所有人都知道，這是一件艱難而正確的事，但正如荀子所言“先義而后利者榮”，掙脫開源基礎設施的枷鎖，將為國家與時代筑起一條護城長河。

結(jié)語

天下從來沒有免費的午餐。風雨飄搖中，那些披著開源外衣的“國產(chǎn)”存儲產(chǎn)品并沒有想象中的那么安全。

如今，在以基礎軟硬件替代為重點方向的新一輪自主可控浪潮正在掀起。我們堅信，不久的未來，在企業(yè)用戶和科技廠商彼此信任地攜手中，將迎來真正的“國芯國魂”。

?相關閱讀

開源真的香，風險知多少？

開發(fā)者故意破壞自己的開源項目，開源商業(yè)化之路如何走？

數(shù)據(jù)大爆炸時代，云存儲重塑云中數(shù)據(jù)活力

東數(shù)西算不止于“算”，更需“新存儲”

紅帽、Docker、SUSE在俄羅斯停服，開源軟件還安全嗎？

【科技云報道原創(chuàng)】

轉(zhuǎn)載請注明“科技云報道”并附本文鏈接

       原文標題 : 存儲開源，風雨飄搖下“披著羊皮的狼”？