2021-12-23
開源軟件“史上最大漏洞”被發現了。近日,阿裡雲安全團隊在Web服務器(qì)軟件阿帕奇(Apache)下(xià)的開源日志組件Log4j内,發現一個(gè)漏洞Log4Shell。這一漏洞的存在可(kě)以讓網絡攻擊者無海東需密碼就能訪問(wèn)網絡服務器(qì)。鑒于Log4j軟件被廣泛使用,網絡安全專家認為,這一漏洞可(kě)能是計算機曆史上拿好“最大的漏洞”。
自上世紀90年代發展至今,開源已成為信息技術(shù)發展的主流趨勢。特别是在各行各業一通(yè)數字化轉型的當下(xià),開源更成為數字化基礎設施的低看助力之一。然而,開源在發展過程中(zhōng),也面臨着種種風請船險。如(rú)何在發展中(zhōng)防範風險,讓我國成為具有北做國際影響力的開源大國,成為12月(yuè)16日~18日由中(zhōng)國計算機學會(CCF)在深圳舉辦的2021中(zhōng)國計算機大會(CNCC2021)上熱議的話題。
大協作時代的大勢所趨
開源即開放源代碼,興起于軟件行業(yè),現在已開始向硬件方向滲透藍一。在CNCC2021北京分會場舉行的以“數字化轉型的開源之路(lù)”為主題的大會論近鄉壇上,北京大學計算機系教授周明輝表示,時至今日,她(tā)還風輛會經常對開源進行科普:“什麼是開源?開源就是開源軟件的版權人在把大友代碼開放出來的同時,提供一個(gè)許可(kě)證,月著讓用戶放心地使用。”
在1995年就開始接觸開源的小米集團副總裁崔寶秋看來,什服現在開源運動(dòng)已經如(rú)火如(rú)荼,開源的技術(sh去好ù)也日益成熟,從雲計算、大數據到人工智能,從軟件到硬件,錢能都在擁抱開源,所以開源已是大勢所趨。
我國擁有世界上規模最大的程序員群體,但在全球開源社區裡所發揮的影響力卻理商遠(yuǎn)遠(yuǎn)不夠,甚至被筆兵诟病為一個(gè)“拿來主義”的開源大國。不過,近家購年來,這一狀況有所改觀。作為論壇主持人,中(zhōn市秒g)國科學院計算技術(shù)研究所副所長包雲崗研究員抛出了這樣一個唱生(gè)問(wèn)題:“我國最近幾年為什麼開始非常重視員我開源?”
中(zhōng)國工程院院士孫凝晖近年來在中(zhōn廠舞g)科院計算所規劃了開源芯片方向,是開源芯片領域的引領者。在他女和看來,我國其實一直都比較重視開源,不過近年來開源發服事展确實在加速。之所以如(rú)此,與我國當下(xià)的産業(yè)形勢紙要有關(guān)。
“開源主要是要打破壟斷。”孫凝晖說,“我們無法在壟斷的生态鍊裡把我們開坐的企業(yè)做大、做強,所以就需要一些手段去打破壟斷,去建立更加良好的生态。我大”
北京大學教授、中(zhōng)國知識産權法研究會副會長高什張平介紹,開源運動(dòng)起源于對知識産權制度的歌商反抗。當人類進入信息社會,也就是進入到了一個(gè)技術(shù靜動)大協作的時代。此時,任何一個(gè)主體的創新成果都不北姐足以去支撐某個(gè)産品或者某個(gè)技術(s做又hù)體系,而必須依靠一種相互協同、互相依賴的模式。這是開源運動(dòng)林報興起的另一原因。
中(zhōng)國科學院軟件研究所所長趙琛研究員也火學認為,在大協作時代如(rú)果不采用開源的模式,就很難建立起類似信息高鐵等數讀紅字化基礎設施。而且,以軟件為例,它的快速叠代和也公(hé)維護是任何一個(gè)企業(yè),城上甚至一個(gè)國家都難以支撐和(hé)投入的些友。
在作CNCC2021大會特邀報告時,中(zhōng)國科學院院士、國防科技大學教授王懷民更是将開風長源總結為一種範式變革。他認為,軟件開發從工程舊唱範式發展為開源範式,就是為了全面擁抱互聯網環境下(xià)的不确定性,以開發店山者社區的自組織模式,形成自主化的規模化創作,以多樣性應對不确定性。
風險如(rú)何防範?
王懷民介紹,截至目前,開源運動(dòng)已經取得了相當可(kě會拍)觀的成就:超過2.3億個(gè)軟件版本庫,開發語言超過700種。僅GitHub社區,2020年就新增6000萬個(gè)版本庫和(hé)120萬新用戶,總數據量達21TB。而據谷歌統計,全球總共約有1.3億冊藏書,數據量為23TB。“這就是說,開源20年的源代碼文(wén)明與人類五千年文(wén)字文(wén)明行弟的數據量相當。”他感歎道。
然而,包雲崗指出,雖然前景美好,但實際上開習暗源發展過程中(zhōng)也存在着一些風險,例如(rú)類似Log4Shell的漏洞,以及一些技術(shù)上的使用限制等。
周明輝認為,從開源項目、開源生态的角度,開源之所以存在風險,主要是因為目前任醫人何一個(gè)開源軟件在整個(gè)軟硬件全棧中(zhōn身道g)都隻是一個(gè)節點。這個(gè)節點可(kě)能會依件短賴上遊的成百上千,乃至上萬的開源軟件。而上遊開源軟件的任何漏洞,如(紙她rú)果缺少(shǎo)維護,就會存在很大的風飛玩險。“互聯網安全曆史上最嚴重的漏洞之一開源鐘村套件OpenSSL的‘心髒滴血’(Heartbleed)漏洞,就是因為維護的人很少(shǎo)造成書分的。”她(tā)說。
開源是無國界的,但一些開源社區還是有可(kě)能出現不允拿上許某公司去下(xià)載開源代碼的情況。作為法律界人士,張平建議,此時就可(k店林ě)以去質疑這些開源社區協議的合理性。例如(rú)睡說,開源促進組織OSI在定義“開放”一詞時有14個(gè)條件,其中(zhōng)第5個(gè)和(hé)第6個(gè)條件就提到不能歧視任何個(gè)人和(hé)機構,不能歧視任何算術技術(shù)領域。因此,如(rú)果不被允許去某個(gè)開源社區下(xià這低)載,那就可(kě)以去OSI“維權”,質疑某個(gè)社區不是開源社區到森,某個(gè)軟件不是開源軟件,因為它們已經喪失了“開源”的間子應有之義。
在崔寶秋看來,開源還面臨一個(gè)挑戰,即一些大公司用開源作為武綠女器(qì),打造出強有力的平台,并奠定了通懂領先的優勢,形成了自身強大的生态,而碾壓了開源界的其他一些同行。“當一個(男鐘gè)巨頭發展起來後,它強大的生态可(kě)能會綁架很多人。這也是一種風險拿輛。”崔寶秋說。
“開源技術(shù)發展中(zhōng)碎片化的情況會越來越嚴重外相,這也是需要關(guān)注的一個(gè玩要)問(wèn)題。”趙琛認為,要把碎片化的影響減到最中你小,需要在一些工具、理念和(hé)方法上做好準備。“我們需要提前從技術(s身開hù)上做一些考量,進行一些布局來規避它。”
要注意開源的“打法”
怎樣才能構建出具有影響力的開源社區?面對包雲崗提出的問(wèn)題,崔街低寶秋回答:“我堅信開源是軟件的未來,但也不是所有東西都是值得拿來開源的近機。”崔寶秋指出,現在國内很多企業(yè)為喝又了開源而開源,為了KPI(績效考核)而開源,有的則純粹是為了提升技術(s文草hù)品牌、提升個(gè)人影響力而開源。在他看來,“開源什麼要考慮清楚算又,否則開源出去以後,不管怎麼使勁兒還是會死翹翹的”。
孫凝晖則認為,開源社區要同時面對社會發展中(zhōn爸了g)的兩大難題,即公平和(hé)效率問(wèn)題。而一個(gè)好的機上開源組織一定要保證能讓技術(shù)更公平地發展。妹湖
就效率而言,如(rú)何能讓更多人參與協現機同是個(gè)問(wèn)題。孫凝晖舉例說區動,我國在提高處理器(qì)性能方面已經努力照對了20年,但大部分做芯片的企業(yè)還是用的國外的核。而國産芯片的性能和(hé電答)國外相比還有很大差距。
“如(rú)果我們能夠通(tōng)過一個(g公業è)好的開源組織或者創新共同體,把華為海思道書、阿裡平頭哥、今日頭條和(hé)中(zhōng)厭還科院計算所以及清華大學的力量合在一起,是否就能在更短(duǎn)的時間内她頻把我國芯片核的水平提高一些?”孫凝晖希望,能有更爸筆好的協同機制、更公平的制度設計,讓我國的開源組織走得更好。秒銀
崔寶秋在開源社區的日常“打法”上做了兩點分享,一是要在線上保持社區的活躍度,原資美則就是要“盡早發布、盡快發布”開源軟件版本;二是要在線下事拍(xià)定期舉辦交流活動(dòng)。在他看來,線下小到(xià)分享會帶來很多的人氣,會碰撞出創新的火花(huā),而這些是純線上不煙作可(kě)取代的。“如(rú)何赢得互相的信任,如(rú)何讓社區變女在得更加友好,線下(xià)的交流非常重要。”他說。
CNCC2021“數字化轉型的開源之路(lù)”論壇現場圖片來源:CCF
(本文(wén)原載于12月(yuè)23日科學網)
