開源軟件“史上最大漏洞”被發(fā)現(xiàn)了。近日,阿里云安全團(tuán)隊(duì)在Web服務(wù)器軟件阿帕奇(Apache)下的開源日志組件Log4j內(nèi),發(fā)現(xiàn)一個(gè)漏洞Log4Shell。這一漏洞的存在可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。鑒于Log4j軟件被廣泛使用,網(wǎng)絡(luò)安全專家認(rèn)為,這一漏洞可能是計(jì)算機(jī)歷史上“最大的漏洞”。
自上世紀(jì)90年代發(fā)展至今,開源已成為信息技術(shù)發(fā)展的主流趨勢。特別是在各行各業(yè)數(shù)字化轉(zhuǎn)型的當(dāng)下,開源更成為數(shù)字化基礎(chǔ)設(shè)施的助力之一。然而,開源在發(fā)展過程中,也面臨著種種風(fēng)險(xiǎn)。如何在發(fā)展中防范風(fēng)險(xiǎn),讓我國成為具有國際影響力的開源大國,是12月16日~18日由中國計(jì)算機(jī)學(xué)會(huì)(CCF)在深圳舉辦的2021中國計(jì)算機(jī)大會(huì)(CNCC2021)上熱議的話題。
大協(xié)作時(shí)代的大勢所趨
開源即開放源代碼,興起于軟件行業(yè),現(xiàn)在已開始向硬件方向滲透。在CNCC2021北京分會(huì)場舉行的以“數(shù)字化轉(zhuǎn)型的開源之路”為主題的大會(huì)論壇上,北京大學(xué)計(jì)算機(jī)系教授周明輝表示,時(shí)至今日,她還會(huì)經(jīng)常對開源進(jìn)行科普:“什么是開源?開源就是開源軟件的版權(quán)人在把代碼開放出來的同時(shí),提供一個(gè)許可證,讓用戶放心地使用。”
在1995年就開始接觸開源的小米集團(tuán)副總裁崔寶秋看來,現(xiàn)在開源運(yùn)動(dòng)已經(jīng)如火如荼,開源的技術(shù)也日益成熟,從云計(jì)算、大數(shù)據(jù)到人工智能,從軟件到硬件,都在擁抱開源,所以開源已是大勢所趨。
我國擁有世界上規(guī)模最大的程序員群體,但在全球開源社區(qū)里所發(fā)揮的影響力卻遠(yuǎn)遠(yuǎn)不夠,甚至被詬病為一個(gè)“拿來主義”的開源大國。不過,近年來,這一狀況有所改觀。作為論壇主持人,中國科學(xué)院計(jì)算技術(shù)研究所副所長包云崗研究員拋出了這樣一個(gè)問題:“我國最近幾年為什么開始非常重視開源?”
中國工程院院士孫凝暉近年來在中科院計(jì)算所規(guī)劃了開源芯片方向,是開源芯片領(lǐng)域的引領(lǐng)者。在他看來,我國其實(shí)一直都比較重視開源,不過近年來開源發(fā)展確實(shí)在加速。之所以如此,與我國當(dāng)下的產(chǎn)業(yè)形勢有關(guān)。
“開源主要是要打破壟斷。” 孫凝暉說,“我們無法在壟斷的生態(tài)鏈里把我們的企業(yè)做大、做強(qiáng),所以就需要一些手段去打破壟斷,去建立更加良好的生態(tài)。”
北京大學(xué)教授、中國知識產(chǎn)權(quán)法研究會(huì)副會(huì)長張平介紹,開源運(yùn)動(dòng)起源于對知識產(chǎn)權(quán)制度的反抗。當(dāng)人類進(jìn)入信息社會(huì),也就是進(jìn)入到了一個(gè)技術(shù)大協(xié)作的時(shí)代。此時(shí),任何一個(gè)主體的創(chuàng)新成果都不足以去支撐某個(gè)產(chǎn)品或者某個(gè)技術(shù)體系,而必須依靠一種相互協(xié)同、互相依賴的模式。這是開源運(yùn)動(dòng)興起的另一原因。
中國科學(xué)院軟件研究所所長趙琛研究員也認(rèn)為,在大協(xié)作時(shí)代如果不采用開源的模式,就很難建立起類似信息高鐵等數(shù)字化基礎(chǔ)設(shè)施。而且,以軟件為例,它的快速迭代和維護(hù)是任何一個(gè)企業(yè),甚至一個(gè)國家都難以支撐和投入的。
在作CNCC2021大會(huì)特邀報(bào)告時(shí),中國科學(xué)院院士、國防科技大學(xué)教授王懷民更是將開源總結(jié)為一種范式變革。他認(rèn)為,軟件開發(fā)從工程范式發(fā)展為開源范式,就是為了全面擁抱互聯(lián)網(wǎng)環(huán)境下的不確定性,以開發(fā)者社區(qū)的自組織模式,形成自主化的規(guī)模化創(chuàng)作,以多樣性應(yīng)對不確定性。
風(fēng)險(xiǎn)如何防范?
王懷民介紹,截至目前,開源運(yùn)動(dòng)已經(jīng)取得了相當(dāng)可觀的成就:超過2.3億個(gè)軟件版本庫,開發(fā)語言超過700種。僅GitHub社區(qū),2020年就新增6000萬個(gè)版本庫和120萬新用戶,總數(shù)據(jù)量達(dá)21TB。而據(jù)谷歌統(tǒng)計(jì),全球總共約有1.3億冊藏書,數(shù)據(jù)量為23TB。“這就是說,開源20年的源代碼文明與人類五千年文字文明的數(shù)據(jù)量相當(dāng)。”他感嘆道。
然而,包云崗指出,雖然前景美好,但實(shí)際上開源發(fā)展過程中也存在著一些風(fēng)險(xiǎn),例如類似Log4Shell的漏洞,以及一些技術(shù)上的使用限制等。
周明輝認(rèn)為,從開源項(xiàng)目、開源生態(tài)的角度,開源之所以存在風(fēng)險(xiǎn),主要是因?yàn)槟壳叭魏我粋€(gè)開源軟件在整個(gè)軟硬件全棧中都只是一個(gè)節(jié)點(diǎn)。這個(gè)節(jié)點(diǎn)可能會(huì)依賴上游的成百上千,乃至上萬的開源軟件。而上游開源軟件的任何漏洞,如果缺少維護(hù),就會(huì)存在很大的風(fēng)險(xiǎn)。“互聯(lián)網(wǎng)安全歷史上最嚴(yán)重的漏洞之一開源套件OpenSSL 的‘心臟滴血’(Heartbleed)漏洞,就是因?yàn)榫S護(hù)的人很少造成的。”她說。
開源是無國界的,但一些開源社區(qū)還是有可能出現(xiàn)不允許某公司去下載開源代碼的情況。作為法律界人士,張平建議,此時(shí)就可以去質(zhì)疑這些開源社區(qū)協(xié)議的合理性。例如,開源促進(jìn)組織OSI在定義“開放”一詞時(shí)有14個(gè)條件,其中第5個(gè)和第6個(gè)條件就提到不能歧視任何個(gè)人和機(jī)構(gòu),不能歧視任何技術(shù)領(lǐng)域。因此,如果不被允許去某個(gè)開源社區(qū)下載,那就可以去OSI“維權(quán)”,質(zhì)疑某個(gè)社區(qū)不是開源社區(qū),某個(gè)軟件不是開源軟件,因?yàn)樗鼈円呀?jīng)喪失了“開源”的應(yīng)有之義。
在崔寶秋看來,開源還面臨一個(gè)挑戰(zhàn),即一些大公司用開源作為武器,打造出強(qiáng)有力的平臺,并奠定了領(lǐng)先的優(yōu)勢,形成了自身強(qiáng)大的生態(tài),而碾壓了開源界的其他一些同行。“當(dāng)一個(gè)巨頭發(fā)展起來后,它強(qiáng)大的生態(tài)可能會(huì)綁架很多人。這也是一種風(fēng)險(xiǎn)。” 崔寶秋說。
“開源技術(shù)發(fā)展中碎片化的情況會(huì)越來越嚴(yán)重,這也是需要關(guān)注的一個(gè)問題。”趙琛認(rèn)為,要把碎片化的影響減到最小,需要在一些工具、理念和方法上做好準(zhǔn)備。“我們需要提前從技術(shù)上做一些考量,進(jìn)行一些布局來規(guī)避它。”
要注意開源的“打法”
怎樣才能構(gòu)建出具有影響力的開源社區(qū)?面對包云崗提出的問題,崔寶秋回答:“我堅(jiān)信開源是軟件的未來,但也不是所有東西都是值得拿來開源的。”崔寶秋指出,現(xiàn)在國內(nèi)很多企業(yè)為了開源而開源,為了KPI(績效考核)而開源,有的則純粹是為了提升技術(shù)品牌、提升個(gè)人影響力而開源。在他看來,“開源什么要考慮清楚,否則開源出去以后,不管怎么使勁兒還是會(huì)死翹翹的”。
孫凝暉則認(rèn)為,開源社區(qū)要同時(shí)面對社會(huì)發(fā)展中的兩大難題,即公平和效率問題。而一個(gè)好的開源組織一定要保證能讓技術(shù)更公平地發(fā)展。
就效率而言,如何能讓更多人參與協(xié)同是個(gè)問題。孫凝暉舉例說,我國在提高處理器性能方面已經(jīng)努力了20年,但大部分做芯片的企業(yè)還是用的國外的核。而國產(chǎn)芯片的性能和國外相比還有很大差距。
“如果我們能夠通過一個(gè)好的開源組織或者創(chuàng)新共同體,把華為海思、阿里平頭哥、今日頭條和中科院計(jì)算所以及清華大學(xué)的力量合在一起,是否就能在更短的時(shí)間內(nèi)把我國芯片核的水平提高一些?”孫凝暉希望,能有更好的協(xié)同機(jī)制、更公平的制度設(shè)計(jì),讓我國的開源組織走得更好。
崔寶秋在開源社區(qū)的日常“打法”上做了兩點(diǎn)分享,一是要在線上保持社區(qū)的活躍度,原則就是要“盡早發(fā)布、盡快發(fā)布”開源軟件版本;二是要在線下定期舉辦交流活動(dòng)。在他看來,線下分享會(huì)帶來很多的人氣,會(huì)碰撞出創(chuàng)新的火花,而這些是純線上不可取代的。“如何贏得互相的信任,如何讓社區(qū)變得更加友好,線下的交流非常重要。”他說。
來源:《中國科學(xué)報(bào)》
