蚂蚁金服研究员何征宇系统软件和开源都是手段不是目的

2019年12月15日,蚂蚁金服研究员兼系统部负责人何征宇在OS2ATC 2019上分享了蚂蚁在金融级系统软件上的实践经验,以及对开源协作的理念和做法。以下为演讲整理:

值得一提的是,蚂蚁金服系统软件上的学术合作也比较广泛。我们和国内外的专家学者,包括清华大学,上海交通大学,浙江大学,UC Berkeley都有合作项目,也拿到了不错的成果,例如上面提到的Occlum项目就是跟清华陈渝老师合作的。在这里,我想带出我这次分享最重要的目的,也就是非常希望和在座的各位学术界和开源届的同行能有更多的交流和沟通,达成更多的合作,谢谢大家。

所幸的是,最近兴起的机密计算(Confidential Computing)技术能够非常有效保护应用程序。它的本质其实上就是在大家手机里应用非常广泛的TEE技术,但是随着Intel SGX这样的技术的发展,让每一台服务器支持TEE都成为可能。

第一,需要改写应用,因为可信执行环境里面没有内核和基础库,所以没法把应用直接在Enclave中执行;

那么我们系统软件的挑战和做软件的压力是什么?如果用一句话来总结的话,就是在海量数据压力下的服务连续性保障和资损风险监控。首先是要达到一个非常高的可用率,这个跟我们常说高可用系统,例如电信级系统不一样,这个后面除了5个9之外,还有金融机构非常严格的一些要求,比如100%保证资金安全,这是蚂蚁金服一直在追求的能力。

Occlum是我们今年聚焦攻关的一个Enclave LibOS,现在在世界上来说应该是最先进的一个,使用它可以1分钟内将Tensorflow Lite移植到Enclave里面。这里我想说明的是,我们不是为了做系统而做系统,我们做系统是为了蚂蚁的业务例如共享智能,区块链等能够更好,更快的拿到机密计算这一新技术的红利。

我今天想和大家分享一下我在蚂蚁的一些工作,以及在金融级系统软件中需开源协作的探索和实践。

在中国基因测序技术与产业联盟发布的《消费级基因检测市场报告》中预测,基因检测的中国市场规模或超过千亿元,这其中,消费级基因检测尤为受到追捧。

中新经纬记者找到一家宣称能够检测出孩子全套智商、情商、性格、语言、绘画、音乐等天赋的检测机构,该机构销售人员告知,此检测只是检测出孩子的优势基因,为未来孩子的培养提供方向,但结果准确度无法计算结果,需要“你自己去判断”。当中新经纬记者追问结果可信度时,该销售人员却表示,“买个衣服还要好几百元,给孩子未来投资个几百元肯定比买衣服划算。”

在某品牌基因检测旗舰店,一款“爸爸健康、妈妈瘦身、宝宝营养”的全家人检测套餐价格,由原价1200元直降到566元,价格降低了一半,活动期间还进行过429元返480元的近乎免费的推广。而在用户评论中,却屡次出现检测结果不准确、报告结果没有实质的帮助、检测结果太敷衍等评价。

蚂蚁金服正在做的安全容器,就是为了解决容器的隔离性问题,它的原理也很好理解。传统容器的隔离性其实是依赖linux本身,包括cgroup和namespace等技术,但是应用还是直接通过系统调用访问内核。安全容器做了一个中间层,利用新的内核,hypervisor等等技术,让系统调用可以不用依赖底层的linux,而安全容器自身对linux的依赖是完全已知和固定的,而且小到可以做非常详细的审计,从而极大的降低主机被攻破的风险。

所以我觉得,开放的生态是系统软件保持长久活力的关键。上面的图片里面,左边是在水族馆里面的杀人鲸,它们的背鳍永远是弯着的,显得无精打采,右边是在开放水域的鲸鱼,它们的背鳍就是直的。所以,系统的生态是很重要的。我不想看到的是,不管是因为国家的政策也好,或者什么别的因素也好,我们就在小池塘里面互相吃来吃去的,最后一个大鲨鱼过来全部被干掉了。

接下来,我想结合我自己的一些经历,分享一下我们是如何思考和利用系统软件解决问题的。

著名经济学家宋清辉在接受中新经纬客户端采访时表示,这类检测结果并不具有很大的科学性,但不论何种角度来看,这些基因检测公司都没有权利获得我们的基因数据,否则就构成隐私的侵犯,给个人生活和工作带来风险,甚至给子孙后代带来不必要的麻烦。一旦你的个人DNA信息泄露,在一定程度上意味着你后代的基因也随之暴露于世人面前。消费者应该尽量选择注重保护客户隐私的机构,并且在事先签署好隐私保护协议。

经侦查,民警了解到,这个犯罪团伙人员众多,犯罪手法十分专业,内部管理严格,不但实行“三班倒”的工作制度,还有明确的组织分工。面对庞大的跨省犯罪网络,尤其是涉案人员多、涉案金额巨大、赌博窝点隐蔽性强的情况,专案民警频繁往返于江西、广东、福建、四川、贵州等地,通过近一个月的侦查,摸清了该犯罪团伙的运转方式,包括平台开发运营人员、赌博代理成员身份、赌博形式、赌资兑付方式等情况,并成功将犯罪地点锁定在广东省东莞市。

如何通过基因检测报告指导更加健康、精准的生活方式与选择“靠谱”的消费级基因检测品牌密不可分。牛津大学疾病基因组学协会成员斯图尔特•格莱斯博士建议消费者需要注意三点,一是专业性,比如看其研究是不是和很多大学有合作;二是公开性,不管做的研究还是调研,一定要对顾客公开,随时接受来自大众的提问;三是延续性,现在基因检测是一个新兴行业,从科学角度来说,一定要有随着研究进步不断更新的产品。

6月15日,寿阳县公安局根据特情线索,将涉嫌赌博人员孙某抓获归案。孙某主动交代其伙同他人为某网络赌博充当代理,诱导玩家参与赌博的犯罪事实。寿阳警方立即抽调20余名精干警力成立了专案组,全力开展破案攻坚工作。

电商平台搜索结果截图

业内专家提醒,基因检测一定程度上对疾病具有预警性价值,但不能过分“神化”,更不应将基因检测视为“算命神器”。 (中新经纬APP)

作为国博2019年重要的文化展之一,本次文化展将持续3个月。

我们讲开源,像上面提到的系统软件一样,开源也是一种手段,不是目的。这里给大家分享一些我们的思考。

第一个案例是大家正在做的容器化所带来的问题。在云原生大趋势下,大家正在将IT系统迁移到容器里,例如从OpenStack迁移到Kubernetes,这里实际上有一个很大的问题,也就是从虚拟机迁移到容器时,我们系统的隔离性,不管是从安全还是性能方面来说,都是有下降的。

TEE,现在一般也称为Enclave,可以进行运行时的双向防护。简单说,应用程序用它的话,可以不相信底层的OS等软件。但是在Enclave技术目前存在一些问题,阻碍了它在实际生产环境中的应用,包括:

前述医学研究人员指出,基因检测产业链分为上中下三部分,上游是设备、试剂耗材、信息软件平台研发公司,它们掌握着基因检测行业的“命脉”,主要有国外巨头公司IIIumina、赛默飞世尔等,中下游则是面向制药公司、科研机构以及消费群体等的基因测序服务与生物信息分析公司,包括华大基因、贝瑞基因,Wegene微基因、水母基因、23魔方等,而这些检测机构也属于其中一部分。产业链中,利润的大头其实在上游,而中下游只有保证样品量足够大才能盈利。

目前,以曾某(男、33岁、福建省平和县人)为首的18名犯罪嫌疑人已被寿阳县公安局依法刑事拘留,有关案件侦破工作还在进一步进行中。(完)

中新经纬记者在某电商平台搜索“基因检测”后,出现了几十款种类不同的产品,其中,一款名为“儿童天赋基因检测”的项目排在了销量榜前列。该类检测公司称,此项技术能够检测儿童的求知欲、记忆力、抗压能力、吸取教训能力、数学计算能力、阅读能力等多方面能力。个别儿童天赋基因检测高端套餐,标价最高甚至达数万元。

据齐鲁晚报报道,到目前为止,通过基因测序来预测人体生理机能病变甚至人的天赋能力的研究还是处于初级阶段。无论商业机构还是医疗机构,目前所能做的工作主要还是在跟踪、识别单一点位的基因。这就决定了在目前的基因检测中,有一些结论是靠谱的,而另一些则类似“电子算命”。

8月14日,统一抓捕行动开始,寿阳县公安局组织80余名警力,在广东省两个窝点同时开展收网行动,包括主犯在内的13名犯罪嫌疑人全部落网。大抓捕行动结束后,专案民警又远赴福建、四川等地将其他犯罪嫌疑人全部抓捕归案。

从蚂蚁金服的角度来看,我们一定要保持开放,也希望有非常多的良性竞争。中国的武侠一定是有少林和武当的,如果都是一个流派那就不行了,百花齐放,百家争鸣的状态才是最好的。

根据亿欧智库发布的《2018年中国消费级基因检测市场研究报告》显示,综合目前消费者、美国市场增长率、潜在消费者推算规模的指标以及定性判断,预计国内消费级基因检测市场在今年的消费者规模将达到350万以上,2022年消费者规模预计将超过5500万。

消费级基因检测是指在没有医疗人员参与的情况下,直接向消费者销售的体外诊断产品。根据《麻省理工科技评论》在2019年2月给出的评估,目前有超过2600万消费者接受了针对祖源、健康等的消费级基因检测。

展览分为“揭开一座文化高峰的面纱”“经典的创作背景”“不朽的文学巨著”“广泛的文化传播”“深远的文化影响”和“走向崇高深邃的中华文化精神”6个部分,展出了多种《红楼梦》的版本、续本及译本,其中许多版本首次公开露面。

中新经纬记者发现,在电商平台随处就可查找到产品类别繁多的基因检测公司,而要想得到一份“预知未来”的检测报告,价格几百到上万元不等,部分亲民的价格让基因检测正悄然走进寻常百姓家。但当商家被询问检测结果准确度时,没有一家检测公司能给出一个确切的答案。

所以说现在基于TEE的应用特别难做,基本上现在做的就是纯运算的一些东西,因为IO都解决不了。这里就引出来我们的第二个案例,也就是我们为什么要做Occlum。

中新经纬版权所有,未经书面授权,任何单位及个人不得转载、摘编或以其它方式使用。

根据中国基因测序技术与产业联盟发布的《消费级基因检测市场报告》,基因检测的市场发育尚不健全,透明的价格机制也未形成,目前消费级基因检测市场一直面临着项目诸多繁杂质量不一、定价不透明、处于销售灰色地带、针对检测结果的解读专业性较差等问题。

安全容器可以有效的保护主机,但是,金融业务本身仍然需要更强的隔离保护。

图为警方查获的作案手机、银行卡等。警方供图 摄

第三,未集群化,与客户端场景不同,Enclave中的应用如何failover,容灾也是阻止其在数据中心中大规模使用的一个原因。

第二,需要分割应用,需要把业务程序划分为Enclave内和Enclave外的部分;

蚂蚁金服作为国内金融企业的领头羊,对于技术的追求是永无止境的。蚂蚁的梦想是服务20亿的消费者,1亿的全球小微经营者,这是一个非常大的愿景,而我们相信只有不断发展的技术才能让这些不可能成为可能。例如我们的310贷款能力,就是建立在一流的金融级大规模数据智能的技术能力之上的。

一位不具姓名的瑞典卡罗林斯卡学院医学研究人员告诉中新经纬客户端,目前,基因检测在肿瘤检测和天赋预测、性格预测等所谓的“算命”领域应用最为广泛。

接下来我想讲一些我们的观点。我一直觉得,系统软件是一个手段,它并不是一个目的,因为我们一定要搞清楚的是我们系统软件到底是在做什么。右边这个图很有意思,这是一个楼梯,但是这个楼梯是没法使用的,如果我们做系统软件是为了做而做,有可能做出来就是像这个楼梯一样,目标达到了,但是没有任何价值。

全职妈妈李女士告知中新经纬客户端,她在网络上下单了几款儿童天赋检测项目,“网络上这种基因算命商家很多,流程既简单又很高科技,大致是对方寄过来一个采集试管,清理好口腔后用棉签刮试口腔,再把棉签放入采集试管中寄回,随后等待分析报告即可。”李女士说,做这个检测为的是给孩子上什么兴趣班提供一个大概的参考,但是不同的检测机构检测出的结果有时也不太一样。

预测结果到底可不可信

火石研究院高级行业分析师魏洪泽曾发文称,消费级基因测序市场存在诸多问题,检测每个位点的价格平摊下来只有几毛钱、几分钱甚至更低,但对大众还很陌生,很多公司不具备检测能力,而是层层转包。

魏洪泽表示,目前消费级基因检测主要开展项目为祖源分析、遗传风险、遗传特质等,无法提供和医疗检测类似的检测报告。往往是消费者的好奇和娱乐行为,消费级基因检测市场带来的价值极其有限。

金融行业实际上是一个非常注重科技的行业,因为技术的价值可以得到很直观的展现,然后它是非常注重极致,非常追求技术的先进性的,技术上的先进性可以很快的转化为业务的领先性。

警方经审讯嫌疑人、勘验现场、分析研判,初步查明该团伙以曾某为首,长期以来开设网络赌博场所,并按照不同的赌博金额比例为各级代理商进行发放返点分红,从中非法获利上千万元。

蚂蚁金服也确实在各个系统软件的方向上追求极致。首先从数据库的角度来讲,OceanBase在TPC-C评测中打破了Oracle多年的垄断,这一结果是OceanBase团队创新的实现了分布式关系数据库,并且得到了专业评审员的认可。其次是安全计算,我们参与了Occlum可信执行环境开源项目,并且与清华展开学术合作,相关文章已经被ASPLOS收录,也参与制定国内第一个安全计算的标准。然后是云原生方向上,我们自研了SOFAMesh并率先通过今年的双十一进行了大规模的验证。最后是安全容器技术,我们的Kata Containers是OpenStack顶级开放基础设施项目。

消费级基因检测市场巨大

首先给大家科普加拉帕戈斯综合症,这个其实可以对应到我们的系统软件,如果我们的系统软件从头到尾都是闭门造车,那么它一定会根据当时的现状加入妥协的部分,并且这种妥协会越来越多,最后面对开源开放的系统软件是没有竞争力的。

最后总结一下蚂蚁金服系统软件的发展思路,首先它必须满足业务竞争的需求,然后我们会和顶尖学术机构一起合作创新,并且积极参与开源社区,承担应有的社会责任。

任何一个基础软件、系统软件,比如一个新的操作系统,一般来说都是花销巨大的,而且软件写出来总有一天会淘汰的。我们到底做什么样的系统软件?我相信一定是为了解决什么问题而做,这是我们系统工程师最需要考虑的事情。

ido-nc.com