開(kāi)源軟件“史上最大漏洞”被發(fā)現(xiàn)了。近日,阿里云安全團(tuán)隊(duì)在Web服務(wù)器軟件阿帕奇(Apache)下的開(kāi)源日志組件Log4j內(nèi),發(fā)現(xiàn)一個(gè)漏洞Log4Shell。這一漏洞的存在可以讓網(wǎng)絡(luò)攻擊者無(wú)需密碼就能訪問(wèn)網(wǎng)絡(luò)服務(wù)器。鑒于Log4j軟件被廣泛使用,網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為,這一漏洞可能是計(jì)算機(jī)歷史上“最大的漏洞”。
自上世紀(jì)90年代發(fā)展至今,開(kāi)源已成為信息技術(shù)發(fā)展的主流趨勢(shì)。特別是在各行各業(yè)數(shù)字化轉(zhuǎn)型的當(dāng)下,開(kāi)源更成為數(shù)字化基礎(chǔ)設(shè)施的助力之一。然而,開(kāi)源在發(fā)展過(guò)程中,也面臨著種種風(fēng)險(xiǎn)。如何在發(fā)展中防范風(fēng)險(xiǎn),讓我國(guó)成為具有國(guó)際影響力的開(kāi)源大國(guó),是12月16日~18日由中國(guó)計(jì)算機(jī)學(xué)會(huì)(CCF)在深圳舉辦的2021中國(guó)計(jì)算機(jī)大會(huì)(CNCC2021)上熱議的話題。
大協(xié)作時(shí)代的大勢(shì)所趨
開(kāi)源即開(kāi)放源代碼,興起于軟件行業(yè),現(xiàn)在已開(kāi)始向硬件方向滲透。在CNCC2021北京分會(huì)場(chǎng)舉行的以“數(shù)字化轉(zhuǎn)型的開(kāi)源之路”為主題的大會(huì)論壇上,北京大學(xué)計(jì)算機(jī)系教授周明輝表示,時(shí)至今日,她還會(huì)經(jīng)常對(duì)開(kāi)源進(jìn)行科普:“什么是開(kāi)源?開(kāi)源就是開(kāi)源軟件的版權(quán)人在把代碼開(kāi)放出來(lái)的同時(shí),提供一個(gè)許可證,讓用戶(hù)放心地使用。”
在1995年就開(kāi)始接觸開(kāi)源的小米集團(tuán)副總裁崔寶秋看來(lái),現(xiàn)在開(kāi)源運(yùn)動(dòng)已經(jīng)如火如荼,開(kāi)源的技術(shù)也日益成熟,從云計(jì)算、大數(shù)據(jù)到人工智能,從軟件到硬件,都在擁抱開(kāi)源,所以開(kāi)源已是大勢(shì)所趨。
我國(guó)擁有世界上規(guī)模最大的程序員群體,但在全球開(kāi)源社區(qū)里所發(fā)揮的影響力卻遠(yuǎn)遠(yuǎn)不夠,甚至被詬病為一個(gè)“拿來(lái)主義”的開(kāi)源大國(guó)。不過(guò),近年來(lái),這一狀況有所改觀。作為論壇主持人,中國(guó)科學(xué)院計(jì)算技術(shù)研究所副所長(zhǎng)包云崗研究員拋出了這樣一個(gè)問(wèn)題:“我國(guó)最近幾年為什么開(kāi)始非常重視開(kāi)源?”
中國(guó)工程院院士孫凝暉近年來(lái)在中科院計(jì)算所規(guī)劃了開(kāi)源芯片方向,是開(kāi)源芯片領(lǐng)域的引領(lǐng)者。在他看來(lái),我國(guó)其實(shí)一直都比較重視開(kāi)源,不過(guò)近年來(lái)開(kāi)源發(fā)展確實(shí)在加速。之所以如此,與我國(guó)當(dāng)下的產(chǎn)業(yè)形勢(shì)有關(guān)。
“開(kāi)源主要是要打破壟斷。” 孫凝暉說(shuō),“我們無(wú)法在壟斷的生態(tài)鏈里把我們的企業(yè)做大、做強(qiáng),所以就需要一些手段去打破壟斷,去建立更加良好的生態(tài)。”
北京大學(xué)教授、中國(guó)知識(shí)產(chǎn)權(quán)法研究會(huì)副會(huì)長(zhǎng)張平介紹,開(kāi)源運(yùn)動(dòng)起源于對(duì)知識(shí)產(chǎn)權(quán)制度的反抗。當(dāng)人類(lèi)進(jìn)入信息社會(huì),也就是進(jìn)入到了一個(gè)技術(shù)大協(xié)作的時(shí)代。此時(shí),任何一個(gè)主體的創(chuàng)新成果都不足以去支撐某個(gè)產(chǎn)品或者某個(gè)技術(shù)體系,而必須依靠一種相互協(xié)同、互相依賴(lài)的模式。這是開(kāi)源運(yùn)動(dòng)興起的另一原因。
中國(guó)科學(xué)院軟件研究所所長(zhǎng)趙琛研究員也認(rèn)為,在大協(xié)作時(shí)代如果不采用開(kāi)源的模式,就很難建立起類(lèi)似信息高鐵等數(shù)字化基礎(chǔ)設(shè)施。而且,以軟件為例,它的快速迭代和維護(hù)是任何一個(gè)企業(yè),甚至一個(gè)國(guó)家都難以支撐和投入的。
在作CNCC2021大會(huì)特邀報(bào)告時(shí),中國(guó)科學(xué)院院士、國(guó)防科技大學(xué)教授王懷民更是將開(kāi)源總結(jié)為一種范式變革。他認(rèn)為,軟件開(kāi)發(fā)從工程范式發(fā)展為開(kāi)源范式,就是為了全面擁抱互聯(lián)網(wǎng)環(huán)境下的不確定性,以開(kāi)發(fā)者社區(qū)的自組織模式,形成自主化的規(guī)模化創(chuàng)作,以多樣性應(yīng)對(duì)不確定性。
風(fēng)險(xiǎn)如何防范?
王懷民介紹,截至目前,開(kāi)源運(yùn)動(dòng)已經(jīng)取得了相當(dāng)可觀的成就:超過(guò)2.3億個(gè)軟件版本庫(kù),開(kāi)發(fā)語(yǔ)言超過(guò)700種。僅GitHub社區(qū),2020年就新增6000萬(wàn)個(gè)版本庫(kù)和120萬(wàn)新用戶(hù),總數(shù)據(jù)量達(dá)21TB。而據(jù)谷歌統(tǒng)計(jì),全球總共約有1.3億冊(cè)藏書(shū),數(shù)據(jù)量為23TB。“這就是說(shuō),開(kāi)源20年的源代碼文明與人類(lèi)五千年文字文明的數(shù)據(jù)量相當(dāng)。”他感嘆道。
然而,包云崗指出,雖然前景美好,但實(shí)際上開(kāi)源發(fā)展過(guò)程中也存在著一些風(fēng)險(xiǎn),例如類(lèi)似Log4Shell的漏洞,以及一些技術(shù)上的使用限制等。
周明輝認(rèn)為,從開(kāi)源項(xiàng)目、開(kāi)源生態(tài)的角度,開(kāi)源之所以存在風(fēng)險(xiǎn),主要是因?yàn)槟壳叭魏我粋€(gè)開(kāi)源軟件在整個(gè)軟硬件全棧中都只是一個(gè)節(jié)點(diǎn)。這個(gè)節(jié)點(diǎn)可能會(huì)依賴(lài)上游的成百上千,乃至上萬(wàn)的開(kāi)源軟件。而上游開(kāi)源軟件的任何漏洞,如果缺少維護(hù),就會(huì)存在很大的風(fēng)險(xiǎn)。“互聯(lián)網(wǎng)安全歷史上最嚴(yán)重的漏洞之一開(kāi)源套件OpenSSL 的‘心臟滴血’(Heartbleed)漏洞,就是因?yàn)榫S護(hù)的人很少造成的。”她說(shuō)。
開(kāi)源是無(wú)國(guó)界的,但一些開(kāi)源社區(qū)還是有可能出現(xiàn)不允許某公司去下載開(kāi)源代碼的情況。作為法律界人士,張平建議,此時(shí)就可以去質(zhì)疑這些開(kāi)源社區(qū)協(xié)議的合理性。例如,開(kāi)源促進(jìn)組織OSI在定義“開(kāi)放”一詞時(shí)有14個(gè)條件,其中第5個(gè)和第6個(gè)條件就提到不能歧視任何個(gè)人和機(jī)構(gòu),不能歧視任何技術(shù)領(lǐng)域。因此,如果不被允許去某個(gè)開(kāi)源社區(qū)下載,那就可以去OSI“維權(quán)”,質(zhì)疑某個(gè)社區(qū)不是開(kāi)源社區(qū),某個(gè)軟件不是開(kāi)源軟件,因?yàn)樗鼈円呀?jīng)喪失了“開(kāi)源”的應(yīng)有之義。
在崔寶秋看來(lái),開(kāi)源還面臨一個(gè)挑戰(zhàn),即一些大公司用開(kāi)源作為武器,打造出強(qiáng)有力的平臺(tái),并奠定了領(lǐng)先的優(yōu)勢(shì),形成了自身強(qiáng)大的生態(tài),而碾壓了開(kāi)源界的其他一些同行。“當(dāng)一個(gè)巨頭發(fā)展起來(lái)后,它強(qiáng)大的生態(tài)可能會(huì)綁架很多人。這也是一種風(fēng)險(xiǎn)。” 崔寶秋說(shuō)。
“開(kāi)源技術(shù)發(fā)展中碎片化的情況會(huì)越來(lái)越嚴(yán)重,這也是需要關(guān)注的一個(gè)問(wèn)題。”趙琛認(rèn)為,要把碎片化的影響減到最小,需要在一些工具、理念和方法上做好準(zhǔn)備。“我們需要提前從技術(shù)上做一些考量,進(jìn)行一些布局來(lái)規(guī)避它。”
要注意開(kāi)源的“打法”
怎樣才能構(gòu)建出具有影響力的開(kāi)源社區(qū)?面對(duì)包云崗提出的問(wèn)題,崔寶秋回答:“我堅(jiān)信開(kāi)源是軟件的未來(lái),但也不是所有東西都是值得拿來(lái)開(kāi)源的。”崔寶秋指出,現(xiàn)在國(guó)內(nèi)很多企業(yè)為了開(kāi)源而開(kāi)源,為了KPI(績(jī)效考核)而開(kāi)源,有的則純粹是為了提升技術(shù)品牌、提升個(gè)人影響力而開(kāi)源。在他看來(lái),“開(kāi)源什么要考慮清楚,否則開(kāi)源出去以后,不管怎么使勁兒還是會(huì)死翹翹的”。
孫凝暉則認(rèn)為,開(kāi)源社區(qū)要同時(shí)面對(duì)社會(huì)發(fā)展中的兩大難題,即公平和效率問(wèn)題。而一個(gè)好的開(kāi)源組織一定要保證能讓技術(shù)更公平地發(fā)展。
就效率而言,如何能讓更多人參與協(xié)同是個(gè)問(wèn)題。孫凝暉舉例說(shuō),我國(guó)在提高處理器性能方面已經(jīng)努力了20年,但大部分做芯片的企業(yè)還是用的國(guó)外的核。而國(guó)產(chǎn)芯片的性能和國(guó)外相比還有很大差距。
“如果我們能夠通過(guò)一個(gè)好的開(kāi)源組織或者創(chuàng)新共同體,把華為海思、阿里平頭哥、今日頭條和中科院計(jì)算所以及清華大學(xué)的力量合在一起,是否就能在更短的時(shí)間內(nèi)把我國(guó)芯片核的水平提高一些?”孫凝暉希望,能有更好的協(xié)同機(jī)制、更公平的制度設(shè)計(jì),讓我國(guó)的開(kāi)源組織走得更好。
崔寶秋在開(kāi)源社區(qū)的日常“打法”上做了兩點(diǎn)分享,一是要在線上保持社區(qū)的活躍度,原則就是要“盡早發(fā)布、盡快發(fā)布”開(kāi)源軟件版本;二是要在線下定期舉辦交流活動(dòng)。在他看來(lái),線下分享會(huì)帶來(lái)很多的人氣,會(huì)碰撞出創(chuàng)新的火花,而這些是純線上不可取代的。“如何贏得互相的信任,如何讓社區(qū)變得更加友好,線下的交流非常重要。”他說(shuō)。
來(lái)源:《中國(guó)科學(xué)報(bào)》
