<sup id="iyrol"></sup>

  • <ruby id="iyrol"><nav id="iyrol"></nav></ruby>
  • <meter id="iyrol"></meter>
      <tr id="iyrol"></tr><tr id="iyrol"></tr>

      訂閱
      糾錯
      加入自媒體

      存儲開源,風雨飄搖下“披著羊皮的狼”?

      2023-04-24 14:00
      科技云報道
      關注

      這些年開源界的風風雨雨,時不時撼動著人們的內心。

      2022年,俄烏沖突導致全球最大的獨立開源軟件公司SUSE、美國開源軟件巨頭Redhat、主流開源容器引擎Docker,紛紛宣布停止與俄羅斯的合作。

      而全球最大的開源及私有代碼項目托管平臺Github甚至直接限制所有俄羅斯開發者訪問開源存儲庫。

      同年,開源軟件JavaScript被植入惡意代碼,根據判斷是否為俄羅斯IP地址,刪除用戶的任意文件內容并替換為心形表情符號。

      將目光再往前拉遠,在2021年末,Apache開源日志記錄框架log4j爆發可載入史冊的核彈級漏洞,攻擊者僅需一行代碼便可不留痕跡地控制并接管服務器,導致90%的java開發平臺遭受危機。

      覆巢之下,焉有完卵?一向推崇“自由、平等、相互尊重”原則的開源技術,在復雜國際環境疊加天生殘缺的安全性時,早已變得混沌不清。

      重重迷霧之下,這些令人膽戰心驚的記錄,讓開源界一次次感到震驚的同時,也為崇尚開源的中國企業敲響了警鐘。

      在當今中國發展格局之上,數據存力建設的重要程度不言而喻。存儲既是數字世界生生不息的最關鍵載體,更是守護數據安全與信息資產的最后一道防線。

      然而,事實令人些許悲觀。

      多年以來,中國信息存儲技術仍落后于西方。那些被稱為“國產”的存儲中,又有一大半是基于Ceph、Lustre等國外開源技術進行二次開發,正在大行其道、充斥于世。

      在中國飛速向前奔跑的背影中,這種顫顫巍巍的技術堆棧方式,并不在少數。

      危機之下,作為中國數字產業根基的存儲,眼前橫亙著一場叩問靈魂的興衰戰役。到底有多少國產存儲在“掛羊頭、賣狗肉”?開源存儲又該何去何從?

      “披著羊皮的狼”? ?何時露出兇光?

      眾所周知,存儲是一門技術艱深的領域,任何一家企業想要自研一款存款產品,往往需要長達十余年的技術研發積累。

      但隨著開源技術的爆發,Ceph、HDFS、Swift、Lustre、GlusterFS等國外開源技術的涌現,讓很多國內創業公司以及缺乏足夠技術底蘊的企業,在短短幾年內就摘得了分布式存儲這一新船票。

      不僅如此,這些公司的做法也十分粗暴。他們通過對Ceph等開源代碼簡單的包裝、套殼等手段,實現了所謂的“自研”存儲,并以商業軟件的名義對外出售。

      早在2015-2016年,國內誕生了一批這樣的國產存儲創業公司,比如業內較為知名的X公司、S公司,都美曰其名“自研”,但實際上“自主可控”的成分有多少,恐怕只有廠商自己清楚。

      一浪高過一浪,在看見有人嘗到開源存儲的甜頭后,國內不少大廠居然也加入了分布式存儲的陣營。但苦于傳統存儲技術積淀薄弱,又急于搶占新的市場份額,這些大廠的做法就更為直接。典型如L廠、X廠,就通過加入Ceph等開源基金會、對Ceph等開源代碼進行二次開發和優化、不斷提升對各主流開源社區貢獻度的方式,來快速獲取分布式存儲的市場地位。畢竟,來不及投入工程師人力潛心開發,那站在國外開源巨頭的肩膀上踮踮腳,就成為一條捷徑。

      盡管借助開源能夠在短時間內解決“從無到有”的問題,但是開源存儲軟件面臨的商業化與安全挑戰,并不是一時半會兒能解決的。

      首先,開源存儲代碼漏洞頻發,被攻擊的風險持續加大。

      根據美國新思科技(Synopsys公司)的《2023年開源安全和風險分析報告》統計,在審查的1700多個商業軟件代碼庫中,96%包含開源代碼,84%代碼庫有漏洞,且高達48%包含至少一個高風險漏洞。

      我們觀察到,自2016年以來,國際最權威的漏洞披露社區CVE官網上,已公開的Ceph嚴重級漏洞高達45個,而Ceph官網顯示這些漏洞已修復的數量僅31個。

      這個數據令人擔憂,就好比一座跨越峽谷卻未修建妥善的棧橋,當勇士們大步流星時突然踩空,便墜入峭壁下的萬丈深淵。

      在已披露的中高風險與嚴重風險評級漏洞中,最典型的是這三大類:密碼/密鑰未進行加密便直接存儲,導致敏感信息極容易被泄露、被入侵者利用;訪問接口時缺少完整的認證和授權,導致任何人都可以隨意進行數據訪問;采用易受攻擊的公開協議或操作系統,大幅增加了利用已知漏洞攻擊系統的風險。

      這很難不懷疑,Ceph自身在數據機密性、訪問控制、軟件級運行安全方面存在難以預知的缺陷,存儲層引發的數據丟失及服務不可用的可能性不言而喻。

      同時,Ceph引用了大量老舊開源軟件,很多漏洞未被解決。有開發者分析過Ceph V17.2.1版本,發現其直接或間接引入了50多款開源軟件。

      由于社區對老版本幾乎不會投入資源進行維護,未被及時修復的安全漏洞和嚴重功能問題,都有可能被利用成為被攻擊對象。與對單個端點或服務器的網絡攻擊不同,針對存儲系統的攻擊具有更大的破壞性,一個存儲系統的漏洞就可能導致數千臺服務器停機,業務中斷若干小時或若干天,并清除數PB的數據。過去三年,針對企業數據的勒索軟件攻擊的日益增加,這是一個可怕的前景。

      其次,開源存儲代碼漏洞披露不可控。

      2022年6月,美國商務部工業和安全局(BIS)針對網絡安全領域的出口管制要求表示,在美國實體與中國政府相關的組織和個人合作時,若發現安全漏洞和信息,禁止直接公布,必須先經過美國商務部審核。

      Ceph作為開源存儲軟件的代表,自然也被要求遵循這條新規。

      從歷史上看,Ceph每年都有近10個中高風險漏洞披露,這意味著從此之后,任何漏洞信息都幾乎無法被國內存儲客戶所知曉并修復,妄圖從根源上主動管理更是化為泡影。

      可以說,中國大量采用Ceph系統作為數據底座的企業們,正在風云莫測的國際形勢中面對“數據裸奔”的無聲威脅。

      這自始至終是一場不對稱信息打擊的同臺競技,更是一場中國企業捆綁著定時炸彈的縛足攀巖。

      最后,開源存儲軟件無法持續演進的可能性大。

      Ceph被美國Redhat收購后,法律仲裁歸屬美國加州,Ceph屬于Linux社區的特例,受到美國出口管控。目前,美國仍在進一步加強開源軟件的保護及管控,美國白宮與開源組織、科技巨頭共同推動1.5億美元開源軟件保護計劃,以加強美國的開源安全。

      這一系列動作都讓人明白了那句話——代碼無國界,但寫代碼的人有國界。從俄烏沖突經驗來看,政治原因已經導致開源軟件不再可用,Ceph為首的開源存儲軟件也存在斷供與卡脖子的風險。

      如果國內關鍵基礎設施的存儲系統使用Ceph來構建,那么極有可能無法獲得后續更新迭代,全數據業務系統隨時可能面臨斷供,對將來的工具更新、平臺演進、甚至國家核心技術的發展都將造成極高威脅。如同高懸在頭頂上的達摩克利斯之劍,讓人不寒而栗。

      固守還是激變?國產存儲更需“國魂”

      在國家數字經濟發展大戰略下,數據作為生產要素已成為重要資產,數據存力作為數據基礎設施的核心組成部分,支撐著全國數據價值的釋放,更事關國家的信息安全。因此,今年兩會上,就曾有人大代表呼吁加快“國芯國魂”產品的應用,破解“卡脖子”問題:“我國要有獨立的存儲產業‘強鏈補鏈’規劃,構建存儲產業生態體系和產業鏈,并加速自主創新能力提升、國芯國魂產品應用,實現真正自主可控”。

      盡管理想豐滿,但打造“國芯國魂”的數據基礎設施并不能一蹴而就,而是需要政產學研用的多方合力:

      政策層面,推進先進自主自研產品的應用,建立開源軟件供應鏈安全治理機制,勢在必行。

      農工黨對此提出過四大建議:一是,在新型數據中心、關鍵信息基礎設施等建設中鼓勵使用先進自主自研存儲產品,限制國外開源代碼(Ceph、Lustre等)使用比例;二是,健全漏洞風險的自主治理能力;三是,建立軟件產品安全可信測評體系;四是,積極推進具有檢測技術和檢測能力的存儲認證機構的建設。

      也有專家建議,在涉及到國家關鍵信息基礎設施建設的領域設置準入機制,慎重使用沒有掌握核心技術的供應商。對于那些掌握核心代碼、具有安全管控能力的廠商,可以予以更多支持。

      產業層面,存儲廠商及相關研究機構應喚醒自主創新、自研可控的意識。

      例如,在存儲軟件的開發、維護等活動中做好安全需求分析、安全設計、安全編碼、安全測試、漏洞修補等工作,真正做到清本溯源,掌握核心代碼,提高產品安全能力,實現存儲產品的可信安全。

      用戶層面,建立軟件供應鏈安全全流程治理體系,提升自身的軟件安全治理能力,成為大勢所趨。

      企業用戶必須意識到,在信息技術發展、穩定夯實數據基座的征程之上,唯有“國芯國魂”的數據基礎設施才能作為我國信息發展的重要引擎。

      所以,有計劃、分批次、逐步替換Ceph等開源存儲軟件,需要各行各業的持續與堅定。

      在破除開源Ceph的桎梏后,存儲還需進一步摒棄軟硬解耦建設,轉向軟硬一體的全棧自主可控。

      這才稱得上是真正的“國芯國魂”數據基礎設施,從根本上摧毀數字時代的“特洛伊木馬”。

      所有人都知道,這是一件艱難而正確的事,但正如荀子所言“先義而后利者榮”,掙脫開源基礎設施的枷鎖,將為國家與時代筑起一條護城長河。

      結語

      天下從來沒有免費的午餐。風雨飄搖中,那些披著開源外衣的“國產”存儲產品并沒有想象中的那么安全。

      如今,在以基礎軟硬件替代為重點方向的新一輪自主可控浪潮正在掀起。我們堅信,不久的未來,在企業用戶和科技廠商彼此信任地攜手中,將迎來真正的“國芯國魂”。

      ?相關閱讀

      開源真的香,風險知多少?

      開發者故意破壞自己的開源項目,開源商業化之路如何走?

      數據大爆炸時代,云存儲重塑云中數據活力

      東數西算不止于“算”,更需“新存儲”

      紅帽、Docker、SUSE在俄羅斯停服,開源軟件還安全嗎?

      【科技云報道原創】

      轉載請注明“科技云報道”并附本文鏈接

             原文標題 : 存儲開源,風雨飄搖下“披著羊皮的狼”?

      聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯系舉報。

      發表評論

      0條評論,0人參與

      請輸入評論內容...

      請輸入評論/評論長度6~500個字

      您提交的評論過于頻繁,請輸入驗證碼繼續

      暫無評論

      暫無評論

      人工智能 獵頭職位 更多
      掃碼關注公眾號
      OFweek人工智能網
      獲取更多精彩內容
      文章糾錯
      x
      *文字標題:
      *糾錯內容:
      聯系郵箱:
      *驗 證 碼:

      粵公網安備 44030502002758號

      BRAZZERSHD肉感大屁股,国产亚洲精品美女久久久久久,亚洲成AV人片在线观看麦芽,FREE×性护士VIDOS欧美
      <sup id="iyrol"></sup>

    1. <ruby id="iyrol"><nav id="iyrol"></nav></ruby>
    2. <meter id="iyrol"></meter>
        <tr id="iyrol"></tr><tr id="iyrol"></tr>