导读:当地时间3月30日,俄罗斯总统普京签署保障技术独立性的总统令,要求从31日起禁止在国家采购中未经相关部门许可为重要国家基础设施部门购买外国软件。从2025年开始,国家重要基础设施部门将完全禁止使用外国软件。 假如达梦是一家俄罗斯本土的数据库厂商,您认为如何才能帮助国家更好的应对?达梦数据库的副总经理冯源在接受墨天轮的采访时表示:只要客户愿意,我们就能够以最快的速度将国外的产品替换掉,并竭力做好安全漏洞修复与产品升级等运维工作。
达梦公司副总经理冯源,先后参与DM5、DM6、DM7、DM8的产品研发和测试工作。牵头完成达梦数据库管系统安全版的安全等保三级、等保四级攻关任务;完成达梦数据库管理系统的信息系统安全防护等级、信息系统安全评估保证等级(国际安全标准)分析与认证工作;作为核心成员,多次参与达梦公司牵头的重大专项课题,承担项目管理和研发测试任务。
— 以下为采访正文 —
🎤:您认为Oracle等科技公司制裁俄罗斯对数据库行业以及相关产业会产生哪些影响?是否会出现业务中断或瘫痪的情况?
2、针对业务中断问题,对于俄罗斯而言,从短期来看不会出现业务中断或者瘫痪的情况。一旦数据库跑起来,只要不出严重的安全漏洞或者是软件故障,都能维持现在的运行。
相较于业务本身的问题,俄罗斯当下更应该关注数据库的安全风险。首先甲骨文存在着一定的安全漏洞风险,在没有官方提供修复的情况下,俄罗斯的企业如果坚持数据库带漏洞运行,将会面临很高的风险,受到安全攻击的可能性也会很大。
冯源:1、俄罗斯的IT的原创与技术能力都很不错,比如clickhouse数据库企业。但由于经济体量或是市场等因素,俄罗斯IT公司很难做好做大,优秀的公司、产品与团队为了生存会走向全球市场,从而被美国公司企业与机构所控制。
在中国,尽管基础软件在全球占据的规模不大,但至少养活国产公司不成问题,因此对于我们而言,第一步是要保证国内的技术软件厂商能够活下来,第二步便是谋求做大。
俄罗斯最大的悲剧是很多原创的优秀技术、产品、团队不受自己控制,最后都到了美国。所以被制裁这件事情对于中国厂商而言,首先是个警示,“别的孩子在挨打”,我们就要未雨绸缪,提前做准备工作。另一方面,还要考虑一些非技术性的因素,除了做国产数据库产品、技术以外,还要考虑如何保住它,否则将会面临解散或是收购的结局。就如同Nginx一样,是俄罗斯人发明的,但由于种种原因被收购后反过来制裁俄罗斯,这件事情本身就是无比讽刺的。因此面对这样的形势,中国一定要发展自己的技术与产品,比如开展“备胎计划”,规避核心能力被国外控制的情形。
2、俄乌战争导致俄罗斯被科技制裁,并不等于中国的IT企业可以去填补这块空白市场, 因此对于中国来讲并不算一次直接的机遇。
首先俄罗斯国内的新系统仍旧可以运行,其次俄罗斯的IT也没有那么差,他们有很多的预案应对制裁。因此对中国来说与其说是机遇,更多的应该是警醒,国内应该做好预案并坚持方向走下去,这也是这件事情最大的意义。
另一方面,我认为也要更客观的看待这个事件。商业公司制裁俄罗斯并不会有人感到诧异,但如果开源社区也来制裁俄罗斯,这个才是新闻,也会打破很多人的幻想。借助开源我们能做到很多东西,但同时也要避免“依赖开源”的情况。以后中国的技术软件产业里面做自主化,走开源路径就要思考应该规避哪些问题,同样也要设计机制避免“依赖开源”。
在数据库,或者操作系统这样上千万行代码规模的内核中被“投毒”,这会是一件毛骨悚然的事情,大海里捞一根针都很难,更何况是在毫无察觉的情况下“偷偷投毒”,你不可能把每一行代码一寸一寸地捋过去,因此这样的风险是非常大的。源代码没有任何的意义,它只是一个技术的载体,仅仅拥有源代码也不代表拥有核心技术。
🎤:假如达梦是一家俄罗斯本土的数据库厂商,您认为如何才能帮助国家更好地应对“科技”制裁?
冯源:
如果达梦是一家俄罗斯的本土数据库厂商,并具备现在的水平和产品能力,可以帮助国内起到很大的作用。达梦从写第一行代码到发布第一个版本,不断在市场上打磨产品,并基于用户的需求不断改进,用了几十年的时间,达梦基本上将这样的迭代过程走完了。目前在很多行业与应用领域里,达梦已经能够达到类似Oracle的应用效果。因此达梦假如作为一家俄罗斯的厂商,只要客户愿意,我们就能够以最快的速度将Oracle的产品替换掉,并竭力做好安全漏洞修复与产品升级等运维工作。
冯源:首先开源软件是免费供大家使用,而Oracle拥有全球的市场,因此一个国家盗版横行对它来讲影响不大。对于俄罗斯而言,在于它敢不敢放心使用被制裁盗版(开源软件),怕不怕被“投毒”。假如被投毒,唯一的区别就在于,一个来源于开源组织的贡献者、一个来源于商业软件的官方开发人员,同时安全漏洞没有修复,都会存在着风险,因此盗版并不是问题,安全风险才是最大的问题。
除了技术先进性以外,数据库产品还要看其成熟度,不断在市场上使用和打磨,来满足用户的需求。假如产品在短短几年的窗口期中没有足够的成熟度,难以满足市场需求,那么它将失去机会。俄罗斯被科技制裁事发突然,大概率很难有哪个厂商提前未雨绸缪,就算俄罗斯国内的专利放开,产品也会面临成熟度不够的问题。
这相当于分辨行业一个上下游的关系,上游是开源社区,下游是基于开源的厂商。如果这个开源上游是在美国或者欧洲,下游在国内的市场的风险将会非常大。如果上下游都在国内,风险会相对小一些。举个例子,比如长江的源头与入海口都在中国境内,那么各省市之间规划修建水坝、开闸放水等都可以合理协调。
开源社区本身作为一个跨国界的组织,成员来自世界各地,这其中的协调无关国界,而是个体与个体之间的协调,也就是所谓的“国际分工”。但是当国际壁垒建立起来了,国际分工不复存在,这时最关键的就是开源社区的源头。开源社区的源头和厂商处于同一个阵营与国家,那么协调起来相对来讲比较容易。
MySQL、PG这样的数据库,用“迁移而迁移”的方案,成本相对来讲更低。而达梦“不迁移而迁移”方案,瞄准的是oracle市场规模更大的生态,并且要对数据库的内核动刀。可能很多人会疑问,数据库迁移只用解决语法差异就可以,为什么要涉及到内核呢?事实上如果只看到语法层面的问题,并不能解决迁移问题。语法往往是迁移中相对没有技术难度的部分,功能的支持与否、处理机制的差异才是造成迁移困难的关键,而这些只有在数据库内核层面进行改进才可能平滑移植。
对达梦而言,接触到很多用户的核心业务系统,不是一个语法兼容可以搞定的,在没有搞定核心概念差异的情况下,你做任何语法兼容都是没有意义的。所以说我们的兼容路线不是一个语法层面的问题,它一定要深入到数据库的内核去”做手术”。如果数据库的内核能够支持很多复杂的功能,你才有可能在语法层面支持相应的功能。如果你的内核都很简单,那么你的语法层面即便支持了相关的概念,也不能实现数据库平滑迁移。
为了“迁移而迁移”的方案最大的优势是短平快,但是对于用户而言体验不太好。因此两者各有优势,厂商可以根据自己的体量与投入来选择合适的方案。对于达梦而言,我们从2008年就开始布局数据库迁移相关技术,用户甚至不需要任何实质性的应用代码更改,就能够直接将系统移植到达梦上来。
第一个问题是“进不了门”。随着国内的国产化替代进程逐渐加快,“没有用户”这个在2010年以前最大的问题已经解决了,未来也希望国内能够保持这样的开放趋势,用户也能够更多地考虑国产数据库产品。
第二点便是如何将国产数据库用在更有挑战性、更为重要的系统上,并逐步建立信任。如今国产数据库虽然敲开了门,但是仍然有大量案例是跑在一些规模相对小、压力相对低的外围系统上,这样对产品的打磨并没有太大帮助。例如达梦目前在电力、能源、交通等一些行业与核心系统都进行了国产化替代,从试用产品再到100%的信任,这样的过程需要一定的时间,数据库产业界应该有这个思想准备,该走的路早晚都是要走的。
🎤:您觉得未来国产数据库要成为国内企业数字化建设的首选,需要具备哪些指标和特性?
冯源:
未来国产数据库要成为国内企业数字化建设的首选,首先要具备的特性是生态得维持好。国产数据库不太可能再造一套全新的生态,因此目前要么是认准甲骨文的生态去做替代,或者是基于开源生态去做。假如没有生态,很难在繁多的上下游环节中将应用系统完全迁移过来,用户也不可能从零开始做一套全新的业务系统。
第二点是稳定性要做好。从产品的设计层面、产品质量、编码、测试等这一整套工程化的过程中,都要考虑去用什么样的手段来保障产品可以提供持续稳定的服务。
【编者按】:俄罗斯当前迫切需要解决的不是“业务问题”,而是更容易致命的“数据库安全问题”。如果“开源”被加入制裁行列,由于国际壁垒的建立,基于开源数据库开发的商业数据库也会存在不可用的风险,因此要做好预案。“平滑迁移”是国产化的一大难题,达梦走的是“不迁移而迁移”的路线,对数据库内核动刀,并不是靠语法兼容就能搞定。针对国产数据库落地,各厂商需要将产品应用在更具挑战性的系统上,持续打磨产品,树立口碑,建立良好的生态,未来国产数据库才能成为企业数字化建设的首选。
内容来源丨墨天轮
编辑丨琳
点击下方链接阅读“墨天轮”专访原文
