最近和一位在某大型國企的技術負責人朋友S兄交流時，S兄說他們正在計劃建設雲平臺。由於專案規模大並且耗時長，服務他們企業對雲廠商來說具有很大的標杆意義，所以在這個專案上雲廠商之間競爭尤為激烈。甚至有云廠商承諾，可以開放原始碼給S兄的企業，但是一些雲廠商對開發原始碼這件事情持堅決反對。關於開放原始碼S兄問我如何看。我認為如果公有云廠商開放原始碼給特定客戶是極不負責任的行為，存在程式碼洩漏的可能，一旦程式碼洩漏將嚴重消弱使用者信心，引發使用者大量逃離。

一、什麼才是雲廠商的生命線？

雲服務已經成為水電一樣的基礎，一旦出現問題影響巨大。

對於使用者來說，一旦出現安全事件，將造成嚴重損失：

2018年3月，Facebook資料洩露醜聞爆發，股價大跌7%，市值蒸發360多億美元；2020年2月，萬豪酒店520萬客人資訊被洩露；2020年2月，微盟的“刪庫”事件，影響業務136小時，拖累微盟業績，賠付總額達到1.16億元，微盟股價累計跌幅超20%；2020年5月，泰國最大的移動運營商洩露83億條使用者資料記錄。

對於雲廠商來說，一旦出現問題，將影響到千萬使用者：

2019年2月，阿里雲程式碼託管平臺的專案許可權設定僅僅因為有歧義，使用者在上傳程式碼時，可設定private、internal和public。很多開發者以為選擇“internal”，就是安全的，於是選了此選項。因此，包含萬科、咪咕音樂、51信用卡等40家企業在內的200多個專案程式碼被洩露；2020年5月，有駭客聲稱獲取微軟公司儲存在Github私人倉庫中的大量原始碼片段，原始碼大小高達63.2GB，涉及Azure、Office和Windows。2021年3月，歐洲雲計算巨頭OVH位於法國斯特拉斯堡的機房發生嚴重火災，導致350萬家網站下線，部分客戶資料丟失無法恢復。

在全球數字化轉型大潮不斷推進的背景下，企業上雲步伐加快，如果雲廠商的關鍵程式碼洩露，哪怕駭客抓住一個漏洞，就可能造成全球範圍的宕機，大量客戶的資料洩漏，使用者將對雲廠商失去信心，雲廠商也將失去商業生命。

二、開放原始碼等同於軟體專案開源麼？

開放程式碼和通常提到的開源專案是兩回事。開源軟體專案模式通常為軟體開源，透過服務或高階功能收費。開放程式碼和開源不一樣，開放程式碼一般只針對特定使用者，目的是讓使用者或者合作伙伴能夠了解產品特性，其本質是一種商業手段，是一種不正常的業務模式。

而且，開源軟體經常因為使用者更新不及時，缺乏安全管理，攻擊者注入惡意程式碼，分發不合規等原因出現安全風險。據2020年5月Synopsys公司釋出的《2020 年開源安全和風險分析（OSSRA）報告》顯示，2019年審計的程式碼庫中，有70%進行了開源，同比增長10%。但其中75%的程式碼庫中包含已知的安全漏洞，49%的程式碼庫包含高風險漏洞。

開源軟體是開放給所有人，開放程式碼是給特定客戶，開發程式碼給特定客戶既不是按照開源軟體專案也不是按照閉源商業軟體的模式進行安全管控，安全風險根本不可控。

三、公有云廠商開放原始碼給特定客戶，可行麼？

負責任的雲廠商都極度重視安全，國外的 AWS，和國內華為雲都曾在資訊保安領域，面向公眾和客戶，做出過相應的舉措和承諾。

從2011年開始，AWS每年都會發布《AWS風險與合規性》白皮書，最新一份於2020年9月釋出，AWS提出公有云廠商和客戶的共擔模型，並認為安全性和合規性是AWS和客戶的共同責任。實施細則上，AWS負責保護執行所有AWS雲服務的基礎設施，包括執行AWS雲服務的硬體、軟體、網路和裝置。客戶責任由客戶所選的AWS雲服務確定，這決定了客戶在履行安全責任時必須完成的配置工作量。

並且AWS還推出了一系列安全服務，包括Identity & Access Management、檢測、基礎設施保護、資料保護、事故響應和合規性等幾十項安全合規服務。

與AWS類似，自2017年華為雲正式上線服務開始，每年也都會發布《華為雲安全白皮書》，最新一份2020年8月釋出。

在白皮書中華為雲承諾：“華為雲以資料保護為核心，以雲安全能力為基石，以法律法規業界標準遵從為城牆，以安全生態圈為護城河，依託華為獨有的軟、硬體優勢，打造業界領先的競爭力，構建起面向不同區域、不同行業的完善雲服務安全保障體系，並將其作為華為雲的重要發展戰略之一。”

此外，華為雲框架從組織、業務流程、人員管理、技術能力、合規、生態方面落實雲安全，保護客戶利益，其中包括：

可見，極度重視安全，負責的雲廠商都不會開放原始碼給特定客戶，因為既不公平也會引入安全隱患，更不符合自己對客戶的安全承諾。

四、公有云開放原始碼，對使用者有害無益

公有云廠商一旦開放原始碼，對使用者是有害無益，這一觀點毋庸置疑。

首先，一線雲廠商，通常研發團隊數千人，程式碼上億行。即使開放原始碼，使用者也沒有能力沒有時間瞭解程式碼，更不用說基於程式碼做配置修改和二次開發。使用者如果有二次開發需求，不如使用雲廠商的API，API對功能做了高度抽象，更簡潔易用，有實力的雲廠商都提供了豐富的API。

其次，還會增加使用者法律責任。開放原始碼時，企業與雲廠商必然會簽署嚴格的法律協議，對程式碼的安全管理提出嚴格的要求，且會投入法律和管理成本。萬一因為管理不善，造成原始碼洩露，使用者將面對嚴重法律責任。

第三，如果出行原始碼洩漏事件，或者有原始碼的客戶可能找到軟體漏洞而對其他客戶產生安全隱患，這對其他客戶也是極大的不公平，會讓其他客戶出現巨大損失。

雲市場風雲變幻，為了贏得客戶，也會衍生出多種商業模式上的競爭，但產業發展執行的基本原則不能丟，紅線不能破，這是一個雲廠商商業準則的基本操守，也是對客戶利益價值的尊重與保護。所以，開放原始碼給特定客戶，是一種極不負責的行為，我覺得還是三思而後行。