Checode浅谈-滴滴事件看开源组件风险

2023年11月27日晚，滴滴出行的用户们突然发现滴滴打车、青桔、小桔充电等多个服务无法正常使用，这一突如其来的故障让很多用户感到困惑和不满。一时间，“滴滴崩了”的话题迅速登上热搜，引发广泛关注。许多用户反映应用无法正常打开，已经发出的订单信息消失，导致出行受阻。在众多用户的关注和质疑下，11月29日，滴滴官方发表声明，解释了此次事故的原因。

据滴滴官方表示，事故起因是底层系统软件发生故障，并非网络上流传的“遭受攻击”。然而，网友们对于官方的解释并不满意，他们认为此次故障与Kubernetes（k8s）升级版本有关。Kubernetes是Google开源的容器集群管理系统，也被称为Borg。在Docker技术的基础上，Kubernetes为容器化的应用提供了部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。

开源组件的使用在软件开发中已经成为一种普遍的开发实践，为开发者提供了丰富的工具和资源，显著加速了软件开发的速度。然而，与之相关的安全问题也变得愈发突出。开源思想并不是把最正确最完善的架构和源代码共享出来，对于大公司而言，更多是一种策略和手段，把其它公司的技术能力限制在自己的框架和体系下。

此次滴滴系统故障事件，引发了我们对高度依赖开源组件的软件开发中如何保障系统的稳定性和安全性的思考。未来的软件开发需要更加注重安全设计和风险控制，尤其是在使用开源组件时，要更加谨慎和审慎地评估和管理潜在的安全风险。只有这样，我们才能确保软件系统的可靠性和稳定性，为用户提供更好的服务和体验。