王旭|蚂蚁王旭：开源项目是如何让这个世界更安全的( 二 ) Kata|项目|社区|

2017年9月份，我在一个会议上遇到当时 Intel OTC 的时任 GM ，也是 Intel 的 SSP VP, Imad Sousou ，我们决定一起合作一个开源项目，在基金会的帮助下，我们一起工作了三个月，最终在2017年12月的 KubeCon 大会前一天，发布了Kata Containers这个项目。
随后的故事可以用峰回路转来形容，在2018年上半年，也就是紧接着Kata发布之后的下一次KubeCon ， Google发布了gVisor安全容器项目，再之后半年，在2018年AWS发布了轻量虚拟化VMM FireCracker ，并引用了 Kata Containers项目来做对比。而在这之间的2018年中， Google 推动 containerd 改进了 Shim API ，来进一步让安全容器可以和runC一起被支持，随后这个被称为 shim-v2 的 API 也得到了 CRI-O 的支持，加上 RuntimeClass 和其他一些改进，可以说， 2018年是安全容器的爆发年。
今天， Kata 拥有了不小的用户社区，得到了 RedHat ， SuSE 和 Ubuntu 三大主流 distro 的支持，也在很多不同行业进入了生产之中，不仅我们蚂蚁、阿里用上了，百度的 Kata 案例也在去年的 OpenInfra Summit 上得到了超级用户大奖，在今年10月19日的OpenInfra Summit大会上，我在Keynote里会正式宣布Kata Containers 1.x在12个稳定发布之后，正式发布2.0版本。不仅 Kata ， Google GKE 的用户还可以用上 gVisor ，它帮助用户躲过了前不久的 CVE-2020-14386 漏洞。
可以说，开源的力量就在于此——代码只是它对世界的影响力的冰山一角，在水面之下的哪些开放协作和互动，让社区的用户受益，得到了更多的好项目，让社区向更好的方向发展。
基金会如何让开源世界更安全？要想促进整个开源世界的安全，开源社区的治理组织不能不提。其中，基金会不仅可以接纳安全项目，还可以安全为目的建立基金会，将天南海北的开发者聚集到一起，攻克共同的安全课题，也是开源安全的重要一环。
让我们以Linux旗下的机密计算联盟CCC为例来说明，蚂蚁通过将项目捐献给CCC、参与这样的组织从而对开源社区的安全作出贡献。
在数据安全和隐私保护越来越受到重视的今天，机密计算（Confidential Computing）是一个具备广泛应用前景的前沿技术领域，可信执行环境（Trusted Execution Environment）作为其重要分支，受到业界科技巨头的重视。
机密计算联盟就是在这样的背景下诞生的， CNCF中国区总监Keith Chan告诉我们：CCC的任务和目标之一是在公有云上实现机密计算，这样我们可以做到以前无法做到的事情，其中比较典型的就是在云上运行敏感数据的计算，机密计算将作为安全体系的核心手段来保护这些敏感数据。
要实现这一目标并不容易，因为机密计算仍然处于早期，业界鲜有应用，几家企业各自推进自己的研发应用，但难以对业界形成示范效应。因此需要基金会这样的组织来推进这一过程。
CCC希望通过开源开发的原则聚集全世界的人一起来共建机密计算的技术和平台，具体的做法包括：

定义机密计算，并通过开源的方法让全世界的人可以参与，构建生态圈，加快提高市场的接受度和采用率；
通过开源的方法简化企业对机密计算应用的开发和管理；
定义一些基础的服务和框架，并让开发者能够放心的采用这些技术。

作为CCC关键成员的蚂蚁集团也将捐赠Occlum LibOS ，这是来自中国的第一个机密计算开源项目，也是目前易用性最好的机密计算LibOS 。

文章图片

通过将其捐赠给基金会， Occlum将成为社区主导的开源项目，将吸引更多业界专家共建，并将和社区其它开源项目合作，如与HyperLedger的avalon项目的合作，在更广泛的应用场景中落地。
另外，不仅仅是Occlum ，蚂蚁集团还正式开源了KubeTEE ，解决机密计算在集群中的问题，还有正在研发中的HyperEnclave ，解决TEE部署环境问题。这些机密计算的组件，也是蚂蚁对提升整个社区和业界的安全性所做的努力。
正是有开发者、组织、业界机构的共同努力，才让开源项目和社区更加安全，而更安全的开源社区，也将让整个世界变得更加安全。