隐私计算,开源才是真安全

摘要

开源软件和工具,已经成为一个完整的软件生态环境,全面渗透到信息技术的各个领域。在基础软件市场,无论从底层的芯片设计,到操作系统、浏览器、数据库等基础软件,甚至消息中间件、云计算、人工智能计算框架等工具,都涉及到开源技术。

    近年来,微软、谷歌、Facebook、腾讯、阿里、百度等全球知名巨头都在积极拥抱开源,究竟开源的魅力在哪?

 

    基础软件市场,开源已经成为绝对主流

 

    开源软件和工具,已经成为一个完整的软件生态环境,全面渗透到信息技术的各个领域。在基础软件市场,无论从底层的芯片设计,到操作系统、浏览器、数据库等基础软件,甚至消息中间件、云计算、人工智能计算框架等工具,都涉及到开源技术。

 

 

    开源技术起源于操作系统,公认最早的开源软件是1953年第一台商用电子计算机的操作系统。开源生态圈从操作系统初步形成,如Linux、Android,到开源数据库兴起,如MySQL、MongoDB等,继而随着大数据开源组件蓬勃发展,如 Hadoop、HBase、Redis、Spark、Elasticsearch等,后面云计算及相关的虚拟化软件应运而生,如KVM、Xen、Docker、Kubernetes等,更少不了跟随而来的人工智能开源框架和工具,如Tensorflow、Pytorch、Caffe等。

 

 

    据全球最大开源系统GitHub发布的2019年年报显示,GitHub在2018年11月突破了1亿仓库。在2019年,全球开发者总共构建了 4400万个仓库,像“ 深度学习 ”、“ 自然语言处理 ”和“ 机器学习 ”等主题的人工智能技术的代码仓库在过去一年中越来越受欢迎。

 

    开源基础软件不仅成本低,还更安全

 

    开源的成本优势不仅仅是免除了Licence费用,还体现在软件安全问题的发现和修复敏捷性上。

 

    比如2017年,腾讯安全平台部的Tencent Blade Team在研究谷歌开源的 TensorFlow 深度学习框架时,一连发现并报告了TensorFlow 7 个安全漏洞并促使谷歌团队及时修复,大大地缩短了漏洞的存在时长。

 

    Tensorflow 发布的安全公告及致谢

 

    这也是开源的迭代效率优势体现,在开源社区内多方协同维护下,版本更替的频次更高,更快。

 

    而对比传统闭源软件,其源代码被商业软件公司牢牢控制,倘若市场发生变化,导致软件无法执行或者合作终止,可能就意味着项目前途暗淡。如2020年8月就有新闻报导:思科前员工非法删除了公司的多个虚拟机,导致商业客户无法正常使用软件,根据联邦调查局的统计,已造成了高达1600万的损失。

 

    传统闭源的商业软件还存在后门风险。2017年,曾有安全专家通过研究发现思科产品中有一个未记录的SSH隧道,可以进行无限制访问。虽然思科官方并不承认,但这并无法改变被认定为有意为之的这一事实。

 

    而开源软件源代码的开放透明,使所有用户也可能参与,并对软件源代码进行修改升级,极大地降低了被植入后门的可能性,以及市场合作破裂风险。即使开发方退出,使用方也不用担心系统的可持续发展性。

 

    两相对比,不难看出,传统闭源产品在安全性方面如同单兵作战,而开源技术则是多个团队共同抵抗。不仅技术及安全得到保障,商业化项目落地节奏也快,孰强孰弱,一目了然。

 

    隐私计算更是离不开开源模式

 

    作为保障大数据合作安全的关键基础软件,隐私计算更是注定离不开开源模式。事实上谷歌、Facebook、腾讯、阿里、百度等巨头也都纷纷加入隐私计算的开源项目中。

   下表是几大巨头在隐私计算领域的开源项目情况。 

 

    整理和对比这些项目,发现基本可以分为三大类:

 

    一是基于TEE可信执行环境的底层开源项目,在CPU级别进行数据的加密计算及传输,是安全沙箱的加密升级版。

 

    二是安全多方计算的工具软件,相对灵活,一般作为大平台的某个组件出现。 

 

    三是结合密码学技术和人工智能框架的联邦学习开源项目,架构强,平台化,可进行完整的数据应用。

 

    与区块链类似,作为需要取得各方信任的大数据合作基础设施,国内外众多科技巨头都在大力投入隐私计算开源生态的构建。 虽然各个项目技术路线有所不同,但基于开源模式相互促进,相互监督,才能将大数据安全合作真实落地。

 

最新文章

极客公园

用极客视角,追踪你不可错过的科技圈.

极客之选

新鲜、有趣的硬件产品,第一时间为你呈现。

张鹏科技商业观察

聊科技,谈商业。