米乐M6官方app下载科技云报到：存储开源风雨飘摇下“披着羊皮的狼”？

　　2022年，俄乌冲突导致全球最大的独立开源软件公司SUSE、美国开源软件巨头Redhat、主流开源容器引擎Docker，纷纷宣布停止与俄罗斯的合作。米乐M6官方app下载

　　而全球最大的开源及私有代码项目托管平台Github甚至直接限制所有俄罗斯开发者访问开源存储库。

　　同年，开源软件JavaScript被植入恶意代码，根据判断是否为俄罗斯IP地址，删除用户的任意文件内容并替换为心形表情符号。

　　将目光再往前拉远，在2021年末，Apache开源日志记录框架log4j爆发可载入史册的核弹级漏洞，攻击者仅需一行代码便可不留痕迹地控制并接管服务器，导致90%的java开发平台遭受危机。

　　覆巢之下，焉有完卵?一向推崇“自由、平等、相互尊重”原则的开源技术，在复杂国际环境叠加天生残缺的安全性时，早已变得混沌不清。

　　重重迷雾之下，这些令人胆战心惊的记录，让开源界一次次感到震惊的同时，也为崇尚开源的中国企业敲响了警钟。

　　在当今中国发展格局之上，数据存力建设的重要程度不言而喻。存储既是数字世界生生不息的最关键载体，更是守护数据安全与信息资产的最后一道防线。

　　多年以来，中国信息存储技术仍落后于西方。那些被称为“国产”的存储中，又有一大半是基于Ceph、Lustre等国外开源技术进行二次开发，正在大行其道、充斥于世。

　　危机之下，作为中国数字产业根基的存储，眼前横亘着一场叩问灵魂的兴衰战役。到底有多少国产存储在“挂羊头、卖狗肉”?开源存储又该何去何从?

　　众所周知，存储是一门技术艰深的领域，任何一家企业想要自研一款存款产品，往往需要长达十余年的技术研发积累。

　　但随着开源技术的爆发，Ceph、HDFS、Swift、Lustre、GlusterFS等国外开源技术的涌现，让很多国内创业公司以及缺乏足够技术底蕴的企业，在短短几年内就摘得了分布式存储这一新船票。

　　他们通过对Ceph等开源代码简单的包装、套壳等手段，实现了所谓的“自研”存储，并以商业软件的名义对外出售。

　　早在2015-2016年，国内诞生了一批这样的国产存储创业公司，比如业内较为知名的X公司、S公司，都美曰其名“自研”，但实际上“自主可控”的成分有多少，恐怕只有厂商自己清楚。

　　典型如L厂、X厂，就通过加入Ceph等开源基金会、对Ceph等开源代码进行二次开发和优化、不断提升对各主流开源社区贡献度的方式，来快速获取分布式存储的市场地位。

　　尽管借助开源能够在短时间内解决“从无到有”的问题，但是开源存储软件面临的商业化与安全挑战，并不是一时半会儿能解决的。

　　根据美国新思科技(Synopsys公司)的《2023年开源安全和风险分析报告》统计，在审查的1700多个商业软件代码库中，96%包含开源代码，84%代码库有漏洞，且高达48%包含至少一个高风险漏洞。

　　我们观察到，自2016年以来，国际最权威的漏洞披露社区CVE官网上，已公开的Ceph严重级漏洞高达45个，而Ceph官网显示这些漏洞已修复的数量仅31个。

　　这个数据令人担忧，就好比一座跨越峡谷却未修建妥善的栈桥，当勇士们大步流星时突然踩空，便坠入峭壁下的万丈深渊。

　　米乐M6官方app下载

　　在已披露的中高风险与严重风险评级漏洞中，最典型的是这三大类：密码/密钥未进行加密便直接存储，导致敏感信息极容易被泄露、被入侵者利用;访问接口时缺少完整的认证和授权，导致任何人都可以随意进行数据访问;采用易受攻击的公开协议或操作系统，大幅增加了利用已知漏洞攻击系统的风险。

　　这很难不怀疑，Ceph自身在数据机密性、访问控制、软件级运行安全方面存在难以预知的缺陷，存储层引发的数据丢失及服务不可用的可能性不言而喻。

　　同时，米乐M6官方app下载Ceph引用了大量老旧开源软件，很多漏洞未被解决。有开发者分析过Ceph V17.2.1版本，发现其直接或间接引入了50多款开源软件。

　　由于社区对老版本几乎不会投入资源进行维护，未被及时修复的安全漏洞和严重功能问题，都有可能被利用成为被攻击对象。

　　与对单个端点或服务器的网络攻击不同，针对存储系统的攻击具有更大的破坏性，一个存储系统的漏洞就可能导致数千台服务器停机，业务中断若干小时或若干天，并清除数PB的数据。

　　2022年6月，美国商务部工业和安全局(BIS)针对网络安全领域的出口管制要求表示，在美国实体与中国政府相关的组织和个人合作时，若发现安全漏洞和信息，禁止直接公布，必须先经过美国商务部审核。

　　从历史上看，Ceph每年都有近10个中高风险漏洞披露，这意味着从此之后，任何漏洞信息都几乎无法被国内存储客户所知晓并修复，妄图从根源上主动管理更是化为泡影。

　　可以说，中国大量采用Ceph系统作为数据底座的企业们，正在风云莫测的国际形势中面对“数据裸奔”的无声威胁。米乐M6官方app下载

　　Ceph被美国Redhat收购后，法律仲裁归属美国加州，Ceph属于Linux社区的特例，受到美国出口管控。

　　目前，美国仍在进一步加强开源软件的保护及管控，美国白宫与开源组织、科技巨头共同推动1.5亿美元开源软件保护计划，以加强美国的开源安全。

　　这一系列动作都让人明白了那句话代码无国界，但写代码的人有国界。从俄乌冲突经验来看，原因已经导致开源软件不再可用，Ceph为首的开源存储软件也存在断供与卡脖子的风险。

　　如果国内关键基础设施的存储系统使用Ceph来构建，那么极有可能无法获得后续更新迭代，全数据业务系统随时可能面临断供，对将来的工具更新、平台演进、甚至国家核心技术的发展都将造成极高威胁。

　　在国家数字经济发展大战略下，数据作为生产要素已成为重要资产，数据存力作为数据基础设施的核心组成部分，支撑着全国数据价值的释放，更事关国家的信息安全。

　　因此，今年上，就曾有代表呼吁加快“国芯国魂”产品的应用，破解“卡脖子”问题：“我国要有独立的存储产业强链补链规划，构建存储产业生态体系和产业链，并加速自主创新能力提升、国芯国魂产品应用，实现真正自主可控”。

　　尽管理想丰满，但打造“国芯国魂”的数据基础设施并不能一蹴而就，而是需要政产学研用的多方合力：

　　农工党对此提出过四大建议：一是，在新型数据中心、关键信息基础设施等建设中鼓励使用先进自主自研存储产品，限制国外开源代码(Ceph、Lustre等)使用比例;二是，健全漏洞风险的自主治理能力;三是，建立软件产品安全可信测评体系;四是，积极推进具有检测技术和检测能力的存储认证机构的建设。

　　也有专家建议，在涉及到国家关键信息基础设施建设的领域设置准入机制，慎重使用没有掌握核心技术的供应商。对于那些掌握核心代码、具有安全管控能力的厂商，可以予以更多支持。

　　例如，在存储软件的开发、维护等活动中做好安全需求分析、安全设计、安全编码、安全测试、漏洞修补等工作，真正做到清本溯源，掌握核心代码，提高产品安全能力，实现存储产品的可信安全。

　　企业用户必须意识到，在信息技术发展、稳定夯实数据基座的征程之上，唯有“国芯国魂”的数据基础设施才能作为我国信息发展的重要引擎。

　　米乐M6官方app下载

　　所有人都知道，这是一件艰难而正确的事，但正如荀子所言“先义而后利者荣”，挣脱开源基础设施的枷锁，将为国家与时代筑起一条护城长河。

　　天下从来没有免费的午餐。风雨飘摇中，那些披着开源外衣的“国产”存储产品并没有想象中的那么安全。

　　专注于原创的企业级内容行家科技云报道。成立于2015年，是前沿企业级IT领域Top10媒体。获工信部权威认可，可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。

　　米乐M6官方app下载

　　Amazfit Falcon配备1.28英寸圆形AMOLED屏幕，蓝宝石镜面，拥有钛金属机身，重量为64克(不含表带)，15项军标认证加身，轻盈与坚毅兼备，更耐高温、不惧严寒。

　　三星作为全球排名第一的智能手机品牌，在安卓阵营中是绝对的佼佼者， 2月14日，三星在上海举行了新品发布会，不仅带来国行版的Galaxy S23系列，同时还宣布了与迪士尼的重磅合作计划。

　　近日,“阿里云 - 云轴科技 技术创新联合实验室”于云轴科技(ZStack)上海总部挂牌成立。

　　Amazfit Falcon配备1.28英寸圆形AMOLED屏幕，蓝宝石镜面，拥有钛金属机身，重量为64克(不含表带)，15项军标认证加身，轻盈与坚毅兼备，更耐高温、不惧严寒。

　　IDC《中国数字政府IT安全硬件市场份额，2021》报告显示，中国数字政府IT安全硬件市场的规模达到64.9亿元人民币，同比增长31.5%。