数据安全是国家顶级安全的观念已经深入人心,当大家都在谈论数据安全的时候,却忽视了一个极其重要的问题,就是承载数据的数据库本身是否安全。如果数据库本身不安全,那么其承载的数据安全就无从谈起。我们分析一款数据库是否安全,首先要看这款数据库的合规合法性,即数据库产品必须有边界清晰的知识产权归属,否则不论产品其他方面做到什么程度,最后都会因为知识产权站不住脚功亏一篑。
信创领域里面比较明确的是替换 CPU、OS、DB 三类里面的五款产品,这些软件产品都有非常明确的知识产权归属,知识产权是受到美国法律保护的。如果有企业在美国域外对其数据库产品包括开源和闭源产品的侵权,比如违反开源规则使用或者商业盗版,他们都可以启用美国长臂管辖法案,直接对这类企业进行诉讼。所以国产数据库知识产权里不能有任何争议的内容,否则当下的数据库国产化就是埋下新的隐患。
赛迪 2022 年 5 月发布的数据库市场调研报告里,列举了 12 个主要的数据库厂商,这里面已经明确表标明除了 1 个是自主研发 1 个外采以外,剩下的 10 个全部是基于 Mysql 和 Postgres 二次开发甚至三次开发的数据库。2022年数字中国技术年会上,中科院外籍院士樊文飞,直接指出了国内所谓的国产数据库 90%是基于美国的开源软件二次开发的。也就是说市面上绝大多数所谓国产数据库厂商,其产品都是基于美国开源软件进行封装和开发的,这些国产数据库的知识产权实际上掌握在美国的一些开源软件管理委员会、高校甚至是商业公司手里,国内用这些开源软件包装出来的数据库产品在知识产权、核心技术、开源规则、开源基金会、管理委员会、技术路线、代码托管等关键环节都没有主导权,一旦国际形势发生变化,这些美国开源软件包装出来的国产数据库会面临着断供或者被诉侵权的法律风险;而且即便国际形势相对稳定,这些开源软件背后的商业利益集团也可以随时变更开源协议,甚至将开源转为闭源产品,同时向最终用户收取大量超额软件使用授权费。这些情况一旦发生,将导致使用了这些伪国产数据库产品的用户同样面临数据库宕库、服务停止、版本无法升级、甚至被美国公司通过法律途径要求赔偿的困境。
我们以当下非常流行的 Mysql 举例,Mysql 是 Oracle 公司旗下的开源软件,使用的是双重协议:针对开源自由软件,需要遵守 GPL V2 协议;针对 OEM、ISV、VAR 和分销商,如果不想开源代码,必须和 Oracle 签订商用协议授权。而我们一些国内数据库公司下载 Mysql 开源代码后,在未遵循 Oracle 开源及商业协议的情况下,将 Mysql 大量商用,据统计 2022 年 Mysql 的装机量市占率已经达到了惊人的40%左右,这部分未被授权的商用的 Mysql 随时会被 Oracle 公司通过法律追索权益。而且不只是非法转售的伪数据库公司会受到惩罚,就连最终用户同样也会受到不利影响。
所以,我们选择一款数据库首先要看的是其数据库自身是否安全,内核是纯自研还是用到了有争议的第三方代码,选择合规合法的国产数据库产品就是保护自己的合法权益。科蓝软件SUNDB数据库产品拥有完整的自主知识产权,数据库安全坚若磐石,能够经受国内外法律的考验,终端用户可以放心选用。
