其他分享
首页 > 其他分享> > 数据泄露频发,云厂商开放源代码是“顺势”还是“作妖”?

数据泄露频发,云厂商开放源代码是“顺势”还是“作妖”?

作者:互联网

最近和一位在某大型国企的技术负责人朋友S兄交流时,S兄说他们正在计划建设云平台。由于项目规模大并且耗时长,服务他们企业对云厂商来说具有很大的标杆意义,所以在这个项目上云厂商之间竞争尤为激烈。甚至有云厂商承诺,可以开放源代码给S兄的企业,但是一些云厂商对开发源代码这件事情持坚决反对。关于开放源代码S兄问我如何看。我认为如果公有云厂商开放源代码给特定客户是极不负责任的行为,存在代码泄漏的可能,一旦代码泄漏将严重消弱用户信心,引发用户大量逃离。



一、什么才是云厂商的生命线?


云服务已经成为水电一样的基础,一旦出现问题影响巨大。


对于用户来说,一旦出现安全事件,将造成严重损失:


对于云厂商来说,一旦出现问题,将影响到千万用户:


在全球数字化转型大潮不断推进的背景下,企业上云步伐加快,如果云厂商的关键代码泄露,哪怕***抓住一个漏洞,就可能造成全球范围的宕机,大量客户的数据泄漏,用户将对云厂商失去信心,云厂商也将失去商业生命。



二、开放源代码等同于软件项目开源么?


开放代码和通常提到的开源项目是两回事。开源软件项目模式通常为软件开源,通过服务或高级功能收费。开放代码和开源不一样,开放代码一般只针对特定用户,目的是让用户或者合作伙伴能够了解产品特性,其本质是一种商业手段,是一种不正常的业务模式。


而且,开源软件经常因为使用者更新不及时,缺乏安全管理,***者注入恶意代码,分发不合规等原因出现安全风险。据2020年5月Synopsys公司发布的《2020 年开源安全和风险分析(O***A)报告》显示,2019年审计的代码库中,有70%进行了开源,同比增长10%。但其中75%的代码库中包含已知的安全漏洞,49%的代码库包含高风险漏洞。


图片


开源软件是开放给所有人,开放代码是给特定客户,开发代码给特定客户既不是按照开源软件项目也不是按照闭源商业软件的模式进行安全管控,安全风险根本不可控。



三、公有云厂商开放源代码给特定客户,可行么?


负责任的云厂商都极度重视安全,国外的 AWS,和国内华为云都曾在信息安全领域,面向公众和客户,做出过相应的举措和承诺。


从2011年开始,AWS每年都会发布《AWS风险与合规性》白皮书,最新一份于2020年9月发布,AWS提出公有云厂商和客户的共担模型,并认为安全性和合规性是AWS和客户的共同责任。实施细则上,AWS负责保护运行所有AWS云服务的基础设施,包括运行AWS云服务的硬件、软件、网络和设备。客户责任由客户所选的AWS云服务确定,这决定了客户在履行安全责任时必须完成的配置工作量。


图片


并且AWS还推出了一系列安全服务,包括Identity & Access Management、检测、基础设施保护、数据保护、事故响应和合规性等几十项安全合规服务。


与AWS类似,自2017年华为云正式上线服务开始,每年也都会发布《华为云安全白皮书》,最新一份2020年8月发布。


在白皮书中华为云承诺:“华为云以数据保护为核心,以云安全能力为基石,以法律法规业界标准遵从为城墙,以安全生态圈为护城河,依托华为独有的软、硬件优势,打造业界领先的竞争力,构建起面向不同区域、不同行业的完善云服务安全保障体系,并将其作为华为云的重要发展战略之一。”


图片


此外,华为云框架从组织、业务流程、人员管理、技术能力、合规、生态方面落实云安全,保护客户利益,其中包括:



可见,极度重视安全,负责的云厂商都不会开放源代码给特定客户,因为既不公平也会引入安全隐患,更不符合自己对客户的安全承诺。



四、公有云开放源代码,对用户有害无益


公有云厂商一旦开放源代码,对用户是有害无益,这一观点毋庸置疑。


首先,一线云厂商,通常研发团队数千人,代码上亿行。即使开放源代码,用户也没有能力没有时间了解代码,更不用说基于代码做配置修改和二次开发。用户如果有二次开发需求,不如使用云厂商的API,API对功能做了高度抽象,更简洁易用,有实力的云厂商都提供了丰富的API。


其次,还会增加用户法律责任。开放源代码时,企业与云厂商必然会签署严格的法律协议,对代码的安全管理提出严格的要求,且会投入法律和管理成本。万一因为管理不善,造成源代码泄露,用户将面对严重法律责任。


第三,如果出行源代码泄漏事件,或者有源代码的客户可能找到软件漏洞而对其他客户产生安全隐患,这对其他客户也是极大的不公平,会让其他客户出现巨大损失。


云市场风云变幻,为了赢得客户,也会衍生出多种商业模式上的竞争,但产业发展运行的基本原则不能丢,红线不能破,这是一个云厂商商业准则的基本操守,也是对客户利益价值的尊重与保护。所以,开放源代码给特定客户,是一种极不负责的行为,我觉得还是三思而后行。

图片

标签:频发,厂商,AWS,安全,华为,顺势,源代码,客户
来源: https://blog.51cto.com/u_15127621/2760830