爭奪 Linux!華為近年貢獻最多,美國軍方想取回控制權

作者 | 發布日期 2022 年 07 月 26 日 7:30 | 分類 資訊安全 , 軟體、系統 line share Linkedin share follow us in feedly line share
爭奪 Linux!華為近年貢獻最多,美國軍方想取回控制權

「幾千名散布全球的開發者,利用業餘時間,僅透過網路這種脆弱合作,就鬼斧神工造就世界級操作系統?我肯定想不到。」這是 Eric S.Raymond 在 1999 年出版的《大教堂與市集》形容 Linux 系統的話。

這本書後來被譽為「開源運動的《聖經》,顛覆傳統軟體開發思路,影響整個軟體開發領域」。讓他驚訝的Linux系統也一路成長,已是大多數電腦啟動時最先加載程式,也是雲端運算、物聯網的核心模組,甚至可說整個網路電腦世界都在上運轉。

Eric總結開源軟體優勢,也成了Linux等開源軟體大獲成功的最好解釋:

只要眼睛多,bug容易捉。(given enough eyeballs, all bugs are shallow.)

他形容封閉開發為大教堂──自上而下,資訊不透明,成本高昂;開源軟體則聚集不同的開發者從不同角度貢獻,這些人用熱情鑽研每行程式碼時,不僅效率高,也更安全,更容易發現漏洞──就像熱鬧的市集。

開源運動也對開源達成許多定義,包括最重要特點是原始碼開放,最核心原則之一就是不得對任何人或團體有差別待遇。但開放和互信精神一直遭受各種衝擊。微軟曾認為是打壓開源的代表,Linux創始人林納斯·托瓦茲(Linus Torvalds)和微軟前副總裁克瑞格·蒙迪曾有著名爭論,脾氣火爆的托瓦茲對蒙迪說:

我不知道蒙迪是否聽說過艾薩克·牛頓爵士?他不僅因為創立了經典物理學而出名,也因為說過這句話:「我之所以看得更遠,是因為我站在巨人肩膀上。」我寧願聽牛頓的也不聽蒙迪的。他(牛頓)雖然死了快300年,也沒讓房間臭氣熏天。

後來故事大家都知道,微軟經歷各種事後也變成擁抱開源的企業。Linux也活在每個人的電子設備裡。但對Linux和開源軟體的不信任從沒消失──現在輪到美國政府表達對開源的不信任了,或說美國政府不太想站在非美國籍牛頓的肩膀上。

MIT科技評論最新報導,美國國防高級研究計劃局(Defense Advanced Research Projects Agency,DARPA)展開SocialCyber計畫。《混合AI保護開原始碼的完整性》報告寫道,使用開源雖然節省成本,提高可維護性,甚至吸引開發人才,但也暴露開源軟體組成和路徑,更易遭攻擊,所以有必要全方位分析開源軟體,以防止惡意活動。

(Source:DARPA

DARPA成立專門計畫小組,打算花18個月、數百萬美元做這件事。且計畫小組表示,AI工具協助下,不僅分析開源軟體原始碼(一般有數百萬甚至上千萬行),還要從社會角度分析。

MIT科技評論報導,研究人員將分析開源社群互動,以辨識擾亂性或傷害性行為,進一步判斷社群成員性質,如哪些值得信賴、哪些需要警惕。DARPA選擇用這套方法「處理」的第一個開源軟體,正是Linux。

Linux是最知名開源軟體。應用Linux的設備之多,遠超過任何操作系統:

  • 我們熟悉的所有網路終端,手機、平板電腦、路由器、電視和電子遊戲機等,嵌入式系統都建構於Linux。
  • Linux也是伺服器主要系統,是公共網路伺服器最常用的操作系統。
  • 從數據庫MySQL到大數據處理工具Hadoop、Spark,只要想到的技術領域,幾乎都能找到Linux的身影。

可以說我們每時每刻都在使用Linux,雖然很多人並不知道。影響力如此大的開源軟體,正常運行自然有整個網路協助。如果有人統計Linux核心貢獻者,會發現約等於全球IT廠商電話簿:英特爾、Google、IBM、輝達、Red Hat……

然而很多人不知道,Linux核心貢獻者,華為排名第一。去年7月,Linux發表有史以來最大發行版之一──Linux Kernel 5.8,當時Linux核心貢獻排行統計顯示:

華為程式碼修改行(line changed)位列第一,占比27.8%,是第二名3倍以上;程式碼貢獻(changesets)第二名,占比8.6%,僅次英特爾。

華為貢獻的1,399個修正,涵蓋ARM64 SPE perf event、ACPI CPPC支援ARM64 CPU超頻、虛化熱遷移頁標最佳化、CPU休眠調控器預設可據場景調整等系統特性,以及網路、文件系統、perf調測、安全等關鍵子系統的bugfix,均為Linux正常運行的基礎功能,對Linux非常重要。

華為近年是美國政府重點管制對象,性質分析社群成員時,DARPA重點研究並對華為貢獻「再肯定」。負責計畫的研究機構聲稱:發現華為是Linux核心最大貢獻者,「肯定」目的當然不是為了表揚,因接下來說:另外,與華為一樣受美國制裁的俄羅斯網路安全公司Positive Technologies也有貢獻Linux核心。

「受美國制裁」解釋上文「需要警惕」目標群體。DARPA計畫分析Linux,真正目的更像「審查Linux開發者」:

聽起來他們不像對維護感興趣,而是對提交程式碼的「受制裁實體」更感興趣。

與DARPA《混合AI保護開原始碼的完整性》暗示Linux似乎「只用不維護」相反,網路巨頭為了維護Linux一直在出人、出錢、出力。微軟曾發布Linux通用的微軟防禦高級威脅保護(ATP),以保護Linux伺服器免受伺服器與網路威脅。

Google參與開源應用安全維護,甚至2021年資助兩名人員,專職開發和維護Linux核心安全。Linux基金會2021年10月宣布,與其他領導者籌資1,000萬美元,辨識修復網路安全漏洞,並開發改進工具、培訓、研究和漏洞披露。

不過對修補平台漏洞貢獻最多的還是Linux平台開發者。截至發稿日,成員達13,256人。據Google研究計畫,正是開發者努力修復漏洞,才讓Linux安全性評等超過Windows 、macOS。

2019年1月至2021年12月期間報告修復錯誤,開源程式設計師平均只需25天即可修復Linux問題,蘋果平均約69天、Google為44天、Mozilla約46天,微軟83天。

另外,Linux開發者也一直在穩步減少修補安全漏洞所需的時間。早在2019年,這個數據就已經縮短至一個月,至現在,已經縮短到兩週左右。

也就是說,DARPA介入前,Linux維護早有成效,且所有系統維護都是針對程式碼本身,從未牽扯到貢獻者。DARPA進一步辨認貢獻成員引起爭議──因更像照DARPA「一家獨大」思路「控制」Linux開源軟體,據美國利益決定誰是「值得信賴」的貢獻者。

美國早就習慣開源當成控制範圍。如前幾年美國將開源軟體納入「出口管制」名單,全球最大開源軟體基金會Apache、最大開原始碼託管平台Github公告,稱受政策影響,服務可能受影響:

Apache:「除非經美國政府正式授權,否則ASF軟體/技術數據不得直接或間接出口/再出口到受美國禁運或貿易制裁的任何目的地。」

Github:「GitHub.com、GitHub Enterprise Server及您託管的開源項目可能受美國出口管制法律約束,包括美國出口管理條例(EAR)。」

事件後出現不少反對聲。開發者在GitHub創建「github-do-not-ban-us」專案抗議,還一度登上GitHub熱門榜第一。本次「審查事件」主角Linux當時沒有發公告,且一年後發布英中文版白皮書《了解開源科技和美國出口管制》。操作層面繞過出口管制條例等問題的攻略:

公開給全世界的開源技術不受制於美國出口管制EAR,開源至今仍是最便利的全球協作模式。

(本文由 品玩 授權轉載;首圖來源:shutterstock)

延伸閱讀:

想請我們喝幾杯咖啡?

icon-tag

每杯咖啡 65 元

icon-coffee x 1
icon-coffee x 3
icon-coffee x 5
icon-coffee x

您的咖啡贊助將是讓我們持續走下去的動力

總金額共新臺幣 0
《關於請喝咖啡的 Q & A》