自1984年Richard Stallman創立自由軟件基金會，并寫下著名的GNU宣言，在計算機領域，開源一直都是一股清流。就如同人類一直努力追求的世界大同一樣，軟件行業也希望通過開源，營造一個開放、大同的技術環境——我為人人，人人為我。

如今，世界大同依然遙不可及，開源這種過于理想化的“出廠設定”也注定“擰巴”。俄烏沖突發生后，全球最大的獨立開源軟件公司SUSE、美國開源軟件巨頭Redhat、主流開源容器引擎Docker，紛紛宣布停止與俄羅斯的業務。美國商務部工業和安全局（BIS）也明確表示：“未經審批禁止向中國分享安全漏洞”。

原來，開源軟件雖然是公開的，但開源軟件也是有“立場”的，注定無法做到“我為人人，人人為我”。正如360創始人周鴻祎在社交平臺上所說：“如果開源軟件有了立場，我們將直面‘平時被控、戰時被癱’的現實風險?！?/span>

不僅如此，正因為開源軟件的開放、自由，良莠不齊的開發者或出于疏忽大意、或出于能力不足、或出于不可告人的目的，造成開源軟件的漏洞風險持續加劇。美國Synopsys公司發布的《2023年開源安全和風險分析》報告顯示，絕大多數代碼庫（84%）至少包含一個已知的開源漏洞，較2022年調查結果增加了近4%。

即便如此，依然有很多廠商出于商業利益，將不可控的開源軟件內核加以包裝，冠以自主創新的名義向客戶兜售，對潛在的安全風險卻只字不提。尤其在存儲領域，Ceph、Swift、Lustre等國外開源技術在中國市場的普及，讓許多存儲企業都看到了潛在的“市場機會”。

而那些被蒙在鼓里的企業客戶，也在不知不覺間將數據“大廈”建在了松軟的不可控的開源存儲“沙灘”上；一旦被惡意組織盯上，就可以輕松從根部動搖整座大廈，給企業核心數據資產帶來致命風險。

數據如此重要，怎能輕易把命運交給別人？

數字經濟的蓬勃發展，既帶來了數據的爆發式增長，也帶來了前所未有的存儲需求。有數據顯示，到2025年，全球數據的總數據量和實時數據量分別高達175ZB和50ZB，其中，中國整體數據量到2025年將達到48.6ZB，占全球數據圈規模的27.8％。

數據作為新的、關鍵的生產要素，更是企業的“基礎性資源”和“戰略性資源”。與其他生產要素相比，數據不僅是企業經驗和實踐的積累，可以幫助企業更好地開展產品、技術和業務流程的創新；也是企業洞察市場和客戶需求變化的關鍵，從而指導企業的生產、銷售和服務。

如今，數據的快速增長，正在讓數據存儲、數據價值挖掘的重要性日益凸顯。由于數據的價值挖掘以存儲為前提，需求巨大，而存儲的實際供給水平卻很有限。數據顯示，到2025年，我國將有超過420EB的存儲缺口亟待補充。

對于企業來說，要將數據進行妥善、安全地存儲，就需要持續提升數據存儲的綜合能力，即數據存力。存力作為數據基礎設施的核心組成部分，是信息的起點和終點，優質的數據基礎設施將有效助力數據價值的釋放。但在提升數據存力過程中，如何保障數據安全也變得越來越重要。

眾所周知，存儲是海量數據匯集和儲存的中轉站，也是數據的最關鍵載體和最后一道防線。因此，企業要更好地守護數據安全，管好、用好數據資產，就必須采用安全可控的存儲產品。

開源存儲在推動存儲技術和產品創新發展的同時，也繼承了開源技術的漏洞和風險。今年兩會期間，有專家提案指出：“國內廣泛使用國外開源存儲軟件，存儲主要開源社區、多數開源軟件主導權均在美國，通過停止分享安全漏洞、關閉開源社區訪問權限、修改開源許可協議、植入惡意代碼等方式，可以進行精準打擊，危害國家數據安全?！?/span>

看上去很美的開源存儲，究竟有哪些隱患？

如今，在數據存儲產業，由于我國在存儲等相關領域的歷史積累和創新投入較少，市面上有一定比例的存儲產品依賴Ceph、Swift、Lustre等開源軟件，其中，Ceph作為軟件定義存儲開源項目的領頭羊，在市場上的知名度和曝光度都很高。

目前，包括傳統ICT大廠的L廠商，以及初創企業X公司等，都在基于Ceph進行開發與二次開發的方式，快速搭建自己的存儲產品或服務。尤其像L廠商、X公司這樣研發投入較少，社區貢獻度卻很高的存儲企業，大概率是基于Ceph的開源存儲。

早年間，這些企業對開源軟件存在的安全隱患心知肚明，并不敢大張旗鼓地宣稱自己的技術內核；久而久之，隨著客戶對開源技術接受程度的提高，這些企業開始轉而強調Ceph的優勢，對其潛在的風險卻三緘其口。

或許有人會說，既然Ceph的優勢明顯，這些基于Ceph開發的存儲產品和服務是不是也很不錯？殊不知，Ceph存在的潛在風險，只是讓這類開源存儲產品或服務看上去很美罷了。事實上，數據安全要牢固樹立底線思維，“未料勝先料敗”，如果只是貪圖Ceph的優勢，而對其潛在風險視而不見，最后帶來的后果往往難以承受。

首先，Ceph自身被攻擊風險較高。根據開源分布式存儲系統Ceph官網數據，2016年以來，國際最權威的漏洞披露社區CVE官網已公開的嚴重級別漏洞高達49個，而Ceph官網顯示已修復漏洞僅31個。從這些已公開的漏洞可以看出，Ceph自身可能在數據機密性、訪問控制、軟件級運行安全等方面存在缺陷，導致數據丟失及服務不可用等問題。

在這種情況下，那些基于Ceph開發的存儲設備廠商，受限于Ceph社區的信息披露與漏洞修補，其產品很可能還保留著眾多未修復的漏洞，給勒索軟件攻擊提供便利。與對單個端點或服務器的網絡攻擊不同，一個存儲陣列的漏洞可能導致數千臺服務器停機，并清除數PB的數據。在勒索軟件攻擊日益猖獗的今天，這樣的開源存儲無疑是一個“定時炸彈”。

其次，Ceph漏洞知情量不可控。根據美國BIS發布的公告，中國對漏洞風險的披露必須經過美國審核，美國組織/社區禁止向中國披露漏洞。在這種情況下，使用基于Ceph的開源存儲，很可能會遭遇“數據裸奔”的情況。因為開源存儲的漏洞信息我國無法獲取，而戰略競爭對手美國則對這些漏洞一清二楚。

第三，Ceph無法持續演進的可能性大。去年10月，Red Hat開始將其存儲產品組合和相關團隊轉移到 IBM 旗下，而Red Hat作為Ceph開源社區代碼貢獻最多的貢獻者，其更新迭代必然也會受到美國出口管控。這樣一來，基于Ceph開發的開源存儲極有可能面臨無法獲得后續更新迭代的風險，給將來的服務/工具更新、平臺演進，甚至國家關鍵技術的發展帶來極高威脅。

如今，不少流于市場的存儲軟件、數據庫軟件、OS軟件都被美國所把持，其中，80%開源軟件受美國控制。除芯片外，隨著開源軟件、漏洞信息納入美國出口管制條例，這類開源軟件也將成為美國實施打壓的又一武器。這柄懸在中國企業頭頂上的達摩利斯之劍，一旦落下，全數據業務系統都可能隨時面臨斷供。

拒絕焦慮，如何構筑數據存儲的銅墻鐵壁？

正如奧地利作家茨威格所說：“所有命運饋贈的禮物，都已在暗中標好了價格?！奔热灰訡eph為代表的開源分布式存儲存在這樣或那樣的風險，那么，如何應對由此帶來的挑戰、扎好數字經濟堅實的壁壘，是所有企業需要深思的問題。

今年兩會上，有專家表示：“我國要有獨立的存儲產業‘強鏈補鏈’規劃，構建存儲產業生態體系和產業鏈，并加速自主創新能力提升、國芯國魂產品應用，實現真正自主可控。同時，構建存儲標準體系，制定存儲系列標準，牽引國產存儲產業高質量發展?！?/span>

這個觀點擲地有聲。近年來，在科技強國戰略指引下，我國正在從政策上牽引并提升存儲系統軟件的自主能力，確保關鍵基礎設施的底座安全穩定運行。對此，專家也在兩會提案中建議，一是在國家重點研發計劃中設立存儲專項，為促進存儲產學研用創新創造條件并提供資金支持，解決“卡脖子”問題；二是成立存儲國家實驗室、國家級科創平臺等，提升原創技術研究能力、科研轉化能力。

不過，從政策牽引到政產學研用緊密聯合，再到開展“卡脖子”技術攻關和創新技術研發，通常需要一個漫長的過程。若想在短時間切實提升數據存儲的安全性，就要優先存儲開源治理，做到應替就替和能替就替。即以標準和建設牽引，增加治理機制，如頒發存儲設備安全測試作為門檻、建立開源漏洞共享平臺和通報機制、對應用于關鍵現網設備的全面篩查等，不過，要做到這一點，需要國家監管部門對存儲產業的有效治理進行頂層設計與政策導向，促進全產業齊心協力協同。

不僅如此，國家還應大力支持我國開源軟件產業的自主研發工作，建立起可靠的開源軟件供應鏈，推動國內開源社區建設。通過制定開源軟件管理規則、完善開源代碼托管平臺、明確開源軟件安全檢測方法等一系列措施，引導軟件供應商掌握核心代碼，提高產品安全能力，打造可信、安全和高效的開源軟件，實現產品的可信安全。

對于國內存儲廠商來說，同樣需要在自主創新、自研可控上加大投入，在存儲軟件的開發、維護等活動中做好安全需求分析、安全設計、安全編碼、安全測試、漏洞修補等工作，真正做到清本溯源，杜絕飲鴆止渴。

實踐反復告訴我們，關鍵核心技術是要不來、買不來、討不來的，先進的存儲技術和產品同樣也是如此。順應這一趨勢，我國已經有真正下足工夫、堅持自主可控的存儲廠商，正在集中力量推進關鍵核心技術的創新與突破。在它們勇立潮頭的身影里，我們相信，終有一天，在核心數據資產與關鍵基礎設施的領域上，陰霾已過，萬里放晴。

版權聲明：

凡本網內容請注明來源：T媒體（http://www.alternativecancerresearchinstitute.com）”的所有原創作品，版權均屬于易信視界（北京）信息科技有限公司所有，未經本網書面授權，不得轉載、摘編或以其它方式使用上述作品。

本網書面授權使用作品的，應在授權范圍內使用，并按雙方協議注明作品來源。違反上述聲明者，易信視界（北京）信息科技有限公司將追究其相關法律責任。