尽管国内还有不少行业在大量的使用 Oracle 的产品,但中国市场对于 Oracle 公司来说并不大,2019年和2020年其营收中,来自中国市场的营收占比都仅5%不到,其中2019年为4.77%,2020年为4.95%,这就意味着该公司即使失去中国市场,对其损失也不会太大。 Oracle 响应美国对俄罗斯的制裁并不是孤例,实际上2019年5月华为被列入实体清单时,Oracle 公司作为华为的 IT 系统供应商,为其提供企业 ERP 软件和数据库产品,华为无疑是 Oracle 公司全球的大客户之一。但在美国开始宣布制裁后,Oracle 立即对华为实行停服断供,迫使华为开始全面自研 ERP 系统进行替代,并在自研的 ERP 中部署上线了华为自研 GaussDB 数据库,并已完成 700TB 的数据量迁移,同时,在华为终端云部署自研 GaussDB 数据库上线数据达到 6PB,替代了使用多年的Oracle 和 MySQL 。在11月7日的华为全联接大会上,华为云 CEO 张平安称,在关键行业的核心应用领域,交易型数据库基本上都是来自美国的数据库,为了给全球客户提供一个更优选择,华为云打造了全球领先的云原生交易数据库GaussDB ,更快,更稳,更可信。不仅如此,和以往的国产化相比,这次的国产化还有个明显的不同,那就是即使在技术上跨过了门槛,在技术上可以替代了,但也还必须考虑到美国这个风险因素,在以往,我们即使有某个模块使用了美国的技术,但如果总体系统是自主设计的,大部分模块是自研的,其实也已经达到了自主化技术的标准,也可以称之为自主技术。但是美国风险的存在,则对自主化提出了更高的要求,也就是要求技术必须是真正完全去美化的,可以不受美国制裁的。会不会受到美国的制裁是检验是否是真正的自主化,最清晰明了的标准,也有着极高的要求,由于美国因素的存在,其长臂管辖的无孔不入,导致即使是开源代码仍然具有风险和不安全性。在全球最大的开源代码托管平台 Github 的官网上面,在 GitHub and Trade Controls(贸易控制)页面,就明确的写了 Github 提供的服务,以及上传的代码都可能受到贸易控制规定的限制,包括美国出口管制条例 EAR 。“GitHub Enterprise Server, and the information you upload to either product may be subject to trade control regulations, including under the U.S Export Administration Regulations(the EAR)https://docs.github.com/en/site-policy/other-site-policies/github-and-trade-controls而在今年的俄乌战争爆发后,2月28日俄罗斯《生意人报》发文章称,Github 正在考虑限制俄罗斯软件开发者访问开源软件源代码储存库,“虽然看上去开源软件是自由使用的,但开源协议仍然存在,而且内含部分限制,比如禁止受制裁国家的居民使用免费贴出的代码”。而据俄媒Habr报道,从4月13日起,Github 屏蔽受美国制裁公司的俄罗斯开发者账户,其中就包括 Sberbank 和 Alfa-Bank 两大俄罗斯银行。这些被屏蔽的企业账号不仅被禁用代码库、并且账号直接被平台删除等。中国也是被美国制裁的重灾区,这几年越来越多的中国机构被列入到了美国的制裁清单上面。目前国内已经有不少国产数据库厂家,但不少是基于开源的 MySQL 数据库代码进行开发,自身缺乏自主演进和发展的能力,也不具备对所有代码完全,深入的理解能力。而 MySQL 开源社区目前也是在美国 Oracle 公司的控制之下,MySQL 的开发者为瑞典 MySQL AB 公司,该公司在2008年的时候被 SUN 公司收购。而2009年 SUN 又被Oracle 收购,这意味着 MySQL 直接受到美国政府的管辖。不仅如此,MySQL 使用的代码托管平台也是 GitHub,因此使用了 MySQL 的开源代码,并依赖于 MySQL 开源社区更新的数据库产品,会有严重的隐忧,因为一旦形势变化,是可能导致参与社区的渠道被封锁,无法获得新的代码更新甚至完全停止开源社区服务,使得已经部署的业务产品无法进行系统升级和修复漏洞,业务无法长期维持,试想如果谁会敢于冒着风险让几千万人几亿人的数据在漏洞下运行呢?目前美国对中国的技术流动管制和压制在越来越严厉,2022年5月26日,BIS(美国商务部工业和安全局)主导的《信息安全控制:网络安全物项》正式发布。该规定称出于“国家安全和防恐考虑”,当美国实体与“受限制国家和地区”区域的“政府最终用户”分享网络安全事项时,需要先向美国政府申请,获得许可后才能跨境发送可能存在的网络安全漏洞。未来还有可能进一步限制其他范围。国内多个机构对此规定进行了解读,并且分析了其管控范围,但实际上对我们来说,在美国加大对中国技术压制和流动管制的大趋势下,长期看起管控范围并不重要,因为今天只限于政府最终用户,明天它也可能扩展到更多的非政府更多用户,今天它只限制某些软件的漏洞披露和修复需申报,豁免另外一部分,明天也可以取消豁免。像目前大量的网络安全漏洞就是通过开源社区发布的,这一规定意味着,如果未来管控进一步升级,那么像 MySQL 这样属于美国公司控制的开源技术平台及其用户,在发现技术漏洞时第一选择将是在通过美国政府申请确认后才可向全球公开漏洞及补丁措施,因为谁会知道公布漏洞后会不会被用于美国定义的受限制名单上的用户呢?这种的审核过程必然会延长漏洞公布的时间,也有可能会被拒绝的风险,毕竟决定权掌握在美国政府手里,而这会危害到下游使用了 MySQL 数据库平台的用户的数据安全。微软就很反对这个规定,认为这会限制其日常的网络安全部署活动,因为认为“ Government end user(政府最终用户)”的定义不清楚,因为它可能包括各种国际组织,科研机构和企业,这会使得企业在公布网络安全漏洞和补丁时产生额外的核查负担以及非故意的犯错,因此请求明确政府最终用户的定义,但微软的请求被 BIS 所拒绝,显然对于各个实体来说,是否公布漏洞最佳的选择就是先向美国政府申请确认,以免违法。
而更进一步,随着中美关系的变化,美国在未来有进一步扩大制裁范围的可能,即从政府最终用户向非政府最终用户扩展。同时在 Oracle 公司控制下的 MySQL,其开源协议是可能更改的,目前 MySQL 的 GPL2.0 开源协议就规定,所有修改、引用、集成、分发来自MySQL 的相关程序都需要公示开源才能合规使用,如果无法公示开源需要向MySQL 协商购买一定数量的商业许可。总之,美国和 Oracle 公司牢牢掌握着 MySQL 的控制权,如果技术演进依赖 MySQL 提供的服务和更新,你要符合它的要求,才能允许让你继续使用开源版本,否则必须购买其商业许可,则不是真正的自主化。目前国内重点企业都已经意识到走向国产化的重要性,而国产数据库在技术上已经在逐渐发展,国内六大银行之一的中国邮政储蓄银行,在全国拥有超过6亿个人客户、4万个网点,系统要面临百 TB 级的海量历史数据、千亿级单表数据量,甚至在高峰期需面对上万的用户并发量,其在2021年6月宣布采购Oracle 数据库软件四年期原厂标准服务,金额高达1.453亿人民币。其在解释单一采购原因时说:“当前我行多个核心生产系统使用 Oracle 数据库进行数据存储和处理,无法替换,须向甲骨文(中国)软件系统有限公司进行采购,确保系统正常运行及相关业务的正常开展。按照我行《中国邮政储蓄银行单一来源采购实施办法(2021年修订版)》第四条“(一)只能从唯一供应商处采购的,包括但不限于以下情形:5.需要采购不可替代的知识产权、专有技术的情况。”相关条款,因此,建议采用单一来源采购方式进行采购。”
感受到国产化的迫切的中国邮政储蓄银行,其新一代个人业务分布式核心系统就使用了国产的数据库,并于2022年4月全面上线,系统上线后具备日均20亿笔、峰值6.7万笔/秒的交易处理能力,在9月底的季度结息中仅花23分钟就完成了原来传统商业数据库需要70分钟完成的工作量。值得一提的是该系统实现了真正的去 O 化,既没有使用Oracle 的商业数据库,也没有使用同属于Oracle 公司开源MySQL 数据库平台。这样的国产替代显然对于国内的数据安全是有积极意义的。在国内基础软件的国产化方面,国内一些大公司都是比较积极的,像华为除了推出自己商业版的鸿蒙( harmony OS )操作系统,服务器的欧拉操作系统,数据库的 GaussDB(高斯数据库)之外,也和美系厂家一样提供了免费的开源版本 OpenHarmony,OpenEuler,以及 OpenGauss,把基础的能力对外开源和开放,以吸引国内开发者基于这些开源平台做二次开发,让更多的国内行业的数字化是建立在国产自研的基础技术上。