《跨界杂谈》开源不是靓女不要乱抱

这是去年在公司内部发表的一个文章，被一群人狂骂（幸好笔者脸皮厚，否则找个地缝钻进去才合适），删除了大部分争议性的观点，保留自己还依旧坚持的观点，本文仅限于“自主可控”这个话题范围吧。笔者不是IT研发人员，观点可能很外行，还请读者担待。

“开源”的来源与发展

“开源”早期可能来源自学术研究，通过开源来实现共享式的技术交流与协同研究。在IT行业笔者最先接触的是Linux，其诞生是源于不差钱的IT大牛对UNIX闭源系统的不满与一位程序猿对软件世界理想的追求。但Linux快速的被商业世界所广泛利用（创始人也乐而为之），成为对抗UNIX和Window的利器。延续Linux有大量的开源软件诞生，同时对Linux激进的开源限定条款（你用了我的原代码就也要开源）进行了修正而趋向温和（用了我的原代码，是不是也开源自己看着办吧）。没一个开源软件的诞生都几乎对应着一款传统闭源而且占统治地位的商业软件，比如：Oracle/DB2/MSSQL对应的MySQL数据库。互联网行业的发展，出于降低软件研发成本的考虑（将独立软件开发转嫁到产业链协同开发），更是把开源推上了新的颠峰，互联网公司对开源产品的大量商用并将自己研发的新产品开源，使得大量开源产品（包括软件、硬件设备乃至芯片）由过去的非主流，至今大有主流的趋势，开源产品已经不尽局限在互联网行业，而且广泛渗透到了传统行业市场，开源产品支撑的业务类型也从非核心业务到核心业务的快速转变。传统坚持闭源的厂商，比如微软，早就坐不住了，转而拥抱开源。

现今“开源”已经成为IT时尚的一个代名词，IT厂商不用开源，都不好意思跟别人打招呼。在国内，借着如今提出的“自主可控”更是将开源推崇到炙手可热的程度。开源真的有那么美吗？

越南的媳妇美国的娃

从源代码的角度看，开源的确是相比原来闭源产品，至少能看到源代码了。对“自主可控”而言算是一个进步。但离真正的（或者说理想的）自主可控似乎还有遥远的距离。这个距离体现在两个方面，一个是技术距离，一个是产业距离。

所谓技术距离，是指我们虽然拿到了源代码，却拿不到技术方向的主导权，IT产品千变万化，发展迅速，你今天拿到的源代码，明天就可能是一堆废纸。被别人牵着鼻子走的状态不是自主可控。这等同于自己养了十几年的娃，最后亲自鉴定，发现他爹不是你一样。

所谓产业距离，是指，开源意味着免费，或至少代表售卖开源软件的厂商从开源产品上获得太多的收入。哪怕是开源的厂商标杆红帽公司，跟全球的软件巨头比起类也只能算苟活而已（当然也比还在靠风险投资吃上顿没下顿的IT企业强多了）。这就意味着拥抱“开源”，就像抱着位从越南买来的媳妇，虽然便宜，但即使占有了她的肉体，也很难占有她的心，关键是稍有不慎，人家就跑回国了（只是举例，绝没有歧视越南人民的意思）。靠开源产品作为主营销售收入的IT产业很难发展壮大，而且前面提到的技术依赖也会导致产业依赖，而无法自主。

备注：靠IT产品销售收入的IT产业与互联网行业公司经常自居为IT产业是两回事。互联网行业的本质不是传统IT，即信息技术产业，而且核心业务也不是IT技术，而是类似传统行业的业务，比如：商业贸易服务、媒体内容服务、中介服务、政府治理等等。IT技术与产品只是互联网公司的工具，只是互联网公司出于敏捷与成本的考虑不得已进行IT产品研发以自用而已。

偷盗行业与开源安全的相似性

笔者住在一个非常“开放”的小区（经济适用房），人员可以随便进出，所以楼下的告示栏经常看到派出所贴的告示：最近（经常贴也就是一直如此了）辖区出现多起入门盗窃案件，犯罪分子采用开锁的形式入室盗窃。而且新闻也经常播放，现在大部分市面在用的防盗门的锁，小偷只需要几秒钟（比我们自己拿钥匙开锁时间甚至还短），最长不到一分钟就可以打开。以至于有防盗门的作用其实只是防好人一说（更多的是让里面的人仅限于心理上的安全感和隐私感而已）。为什么锁如此容易被打开呢？原因很简单，所有人都可以买到锁，然后能够拆开看个究竟，每个人都可以从锁的根源设计上研究破解的方法。而且天下的锁头基本都一样，懂得一个破解方法，就可以偷遍天下了。偷到什么程度呢？偷到警察都懒得管这种案件，原因是：

第一、案件太多了；

第二、案件太小（独立案件损失金额小，整体损失大）；

第三、作案手法相同但作案人不同（而且没有组织证据）；

第四、治标不治本，部分案子破了也解决不了偷盗猖獗的问题

开源安全性问题，和传统的偷盗行业非常类似。也可以说传统的偷盗行业延伸到了IT开源行业。有了互联网，偷盗更方便，小偷们足不出户就可以了。极端一点讲，所有运行在互联网的基础软件源代码都一样，而且可以打开逐行代码的分析漏洞和破解方法。发现一个漏洞，就可以偷遍全天下。漏洞在小偷行业无组织传播，抓住也只是个案。同样治标不治本，补上了一个漏洞，还会有下一个漏洞，没有可能性问题，只有时间问题。

当然笔者不否认闭源产品也有同样问题，特别是取得行业垄断地位的闭源产品，如曾经在安全性上臭名昭著的Windows产品。

目前解决安全问题及安全风险的办法，主要采用“专业”的安全软件和硬件设备。安全软件有开源成分（或者方法开放）也有闭源成分，以与开源产业向融合。但这真的安全吗？

在传统行业里，小区住户，加装防盗网，换高级一些的锁（比如电子锁），更厚的门，或者干脆加上摄像头等安防设备。但小区住户的钱确大部分存在银行里，钱的交易在网上，交易终端变成了手机。小偷只要攻破手机，或在手机里装一款免费APP，就可以把住户的钱转到自己帐上，根本不需要像反恐特警队冲进屋子抓人那种爆破手段了。传统手段在IT产业发展下变得如此脆弱，那么IT呢？

IT在传统的侵蚀下一样脆弱，再武装到牙齿来保密的绝密的信息，也架不住掌握绝密信息的人倒戈。这例子虽然不多，每个都具有爆炸性（感兴趣的读者可参照一则建国后的间谍案相关新闻，最近国家级腐败分子在国外的亲戚们掌握了哪些信息更是不得而知）。当然，这个讨论超出了开源的范畴。

笔者技术能力有限，无法通过深入技术分析得出结论：开源比闭源更不安全或更安全。但是能从当今的新闻事件上得出结论是开源的安全性问题与传统开锁偷盗行业有很大相似性。

闭源的安全性可能与开源安全性不相上下，笔者没有能力做严格的对比分析。但是从安全理论上，你隐蔽的内容越多，对方的破解难度也就越大，这应该是事实。但闭源需要是自主可控的闭源，而不是潜在攻击者可能做过手脚的而且对使用者闭源的产品。

极端的考虑（不计成本与技术可行性），如果你的硬件从芯片上就是异构的（与众不同且封闭），操作系统也是完全异构的，如果不获得你的芯片和OS，攻击方源代码无法或难于运行，网络通信也是异构，意味着攻击方难于无所不在（至少远程）的接入连接。加密技术，防范技术都不公开，对方的破解难渡自然提升。但是很可惜，这种模式是不存在或很难存在的。即使技术上可行，产业上也是不可行的。

结语：

通过本文，笔者并不想做一个倒行逆施的人，被人唾弃。只是希望我们做风口上的猪时，也别忘了保留一点冷静的思考，在风中飞时把握一下方向，别不幸落到屠宰场里。

特别是我们的，别因此被忽悠，花太多冤枉钱，做太多冤枉事。毕竟剪羊毛容易、长羊毛难呐。

------------本期结束-----------------------

--------------------------------------------------------------------

下期预告：待定

最近感觉自己知识量对撰写新话题不够充分，需要充电，因此只能开始吃老本了，一些以前的文章看能发表而且不过时的摘一摘分享。

这个下期预告可能会失效，有工作太忙的原因，也有个人思考不成熟的原因。自己本来觉得至少需要再看几本书来辅助思考，现在有点等不及了，只能动笔。如果不能续写，中间笔者尽量穿插着写一些其他话题的微短文。供大家娱乐。

------------------------------------------------------------

征求插图合伙人：诚征负责插图的小伙伴作为并列作者。

--------------------------------------------------------------

关于《跨界杂谈》

这是一本正在边撰写，边连载的书，来自于延续《日子》《月子》《伺候月子》的灵感，内容涉及多个领域可能与个人工作、生活相关的方方面面，是一本开阔视野与交流思想的书。通过连载，一方面看看读者是否感兴趣，另一方面，希望根据读者反馈进行不断的优化。甚至可以把读者的神回复，给出建议读者的名字纳入到书的章节中。通过互动不断完善。争取此书超过《月子》成为厕所必备神器。

相关微信公众号：雷震子、跨界杂谈

关于雷震子：

《跨界杂谈》作者。对历史、人生、企业经营与发展、商业模式、心理学、IT等均感兴趣。人已奔四，事业无成，却牢骚满腹，想一吐为快，但不会像怨妇一样抱怨世事，而是希望和感兴趣的读者分享这四十年成长中的见闻与心得，希望对读者有所价值（至少能打发下无聊时光）。