极狐GitLab间谍案揭秘:外资控股与中美制裁的背后真相
12 月 03
OpenSource GitHub, GitLab, Gitlab功能, Gitlab安全, Gitlab开源版本, Gitlab总部, Gitlab数据, Gitlab服务器, Gitlab用户, Gitlab财报, Gitlab部署, Gitlab项目, GTLB, PostgreSQL, VIE企业, VIE架构, 中科星图, 中美制裁, 互联网企业, 交付, 代码传输, 代码发布, 代码安全, 代码审核, 代码版本, 企业代码管理, 低税制国家, 俄罗斯入侵乌克兰, 信创, 信创活动, 内资公司, 内部纠纷, 卫星控制, 合规认证, 团队协作, 国产操作系统, 国产数据库, 国产替代, 国产芯片, 国防特种地理信息系统, 外汇管控, 外资企业, 外资控股, 安全管理, 实体数汇报, 客户敏感信息, 开源版本, 开源软件, 律师, 微软, 敏感信息, 文档管理, 新加坡GitLab, 服务器部署, 本地化服务, 权限管理, 极狐GitLab, 气象生态, 爱尔兰, 版本控制, 用户代码, 监控系统, 研发团队, 程序员, 空间地理信息系统, 红杉基金, 纯内资公司, 纳斯达克上市公司, 美国技术, 美国政府, 联想基金, 航天测绘, 裁员, 认证考核, 财报, 软件工程, 软件开发管理, 违规合作, 间谍案, 集成构建, 韩国, 项目管理 极狐GitLab间谍案揭秘:外资控股与中美制裁的背后真相已关闭评论
极狐Gitlab间谍案到底是怎么一回事?大家好,欢迎收听老范讲故事的YouTube频道。今天咱们来讲一讲极狐的故事。事情呢是在11月28号曝光的,曝光人呢就是极狐Gitlab自己家的架构师,名字叫扬州。他呢主要曝光了几件事情。
第一个说公司是有外资背景的,而且外资控股比例超过50%。第一大股东是GitLab新加坡分公司,占股46%。而极狐GitLab呢一直宣传自己是国产软件,还去参加各种信创,也就是国产替代的活动,这肯定是欺诈。这个里边存在叫违规合作的问题,因为极狐接了一个叫中科星图的20万的单子,做了合作。中科星图干嘛的呢?做航天测绘以及卫星控制和运维、空间地理信息系统,包括国防特种地理信息系统,以及一些气象生态这样的业务。在这样的一个情况下,你一个外资公司去跟他合作,这事合适吗?
还有什么呢?中科星图是被美国列到实体名单里的,因为他肯定是做大量军用的东西嘛。你一个美国公司下边的子公司,向中科星图这样的一个被美国放到实体名单里的公司去提供这种技术合适吗?是不是应该受到处罚呢?他做了这样的一个举报。而且举报的时候呢还讲了说,这个Gitlab的后台有一套监控系统,它呢会秘密地搜集客户的敏感信息,包括你有多少个员工、开发了多少个项目、做了多少次编译、做了几次发布,这些呢都会向美国的服务器进行汇报。而且公司的负责人也会每个月或者每个季度向美国总部进行汇报,涉嫌泄密。
最终的结论是什么呢?就是中美两国,你们都应该对他进行制裁。他冒充式国产软件,参加各种信创活动,进行国产替代,你们应该去把这个人民内部的敌人揪出来。美国政府说,你看,你明明把这个中科星图列为实体名单了,他还在为我们提供服务,你也得该制裁他。
在这样的一个举报信息出来以后,咱们首先要知道Gitlab是干嘛的。大家注意啊,Gitlab叫GitLab,跟我们平时经常使用的这个GitHub是两个不同的东西。GitHub是全世界最大的开源软件的存储仓库,是由微软100%收购的一个项目。这个GitHub上呢其实也提供很多的软件工程管理相关的功能。而Gitlab呢就是我给你提供一个类似于GitHub的这样的一个平台,但是呢它是允许你单独部署的,你可以把整个的系统部署到你自己的服务器上去,这样它就不会再存在各种泄密或者是一些代码安全的问题。
因为很多人不希望说:“我的代码都存到像GitHub这样的在美国的服务器上去。”这样你就可以自己部署一套。GitLab主要干这个事的。它是软件开发过程管理的一个系统,主要的功能第一个叫版本控制,就是呃,你这个是哪个版本的,每个版本之间到底有什么差异。第二个呢是集成构建和交付,这个在软件工程里是一个特殊的名词,这个意思是什么?就是啊,当你去更新了代码以后,它会自动的帮你去做软件构件,就是该编译的去编译,然后呢自动的去进行部署,你的用户就可以使用到新版本了。这个是不需要程序员也好,或者是工程维护人员也好,做特别多的手工工作的啊,但是可以自动完成的,这个叫集成构建和交付。
然后呢,还有项目管理的功能啊,就是任务跟踪、进度管理啊,这个就是老板们用的功能。还有呢是代码审核啊,所有的这种代码版本控制系统都是会有代码审核的,你上交上来以后,我允不允许你并入啊,你的代码的质量怎么样啊,它会有一些这样的功能。然后啊,安全跟权限管理,所有的企业用的代码管理系统都会有这样的功能,在里头谁可以看到哪些代码,可以读哪些代码,可以改哪些代码,这个是要有权限管理的,要不然的话,整个的工程管理就会混乱掉,所以这块也是很重要的啊。
以及文档管理,项目里头只有代码肯定是不行的,还有大量的文档啊,然后有团队协作,它里头比如说有论坛啊,还有一些内部的这种通信系统。还有开源版本,我以前的公司也用这东西啊,只是呢,这个开源版本的系统是由程序员部署上去的。就程序员都很喜欢用这样的系统啊,但是其他岗位的人基本上是不怎么用的。
这个GitLab呢,是一家纳斯达克上市公司,它的股票代码是GTLB。应该到目前为止,它的市值是102.27亿美金。创始人呢是两个人,一个是乌克兰人,一个荷兰人。在俄罗斯入侵乌克兰之后,力挺乌克兰啊,他当时就停止了俄罗斯和白俄罗斯的业务,然后组织捐款,还公开发现谴责俄罗斯的入侵。
极狐GitLab到底是一个什么样的公司呢?它呢其实是一家合资企业,GitLab在全世界有很多的这种分支机构,特别是在新加坡、爱尔兰这种低税制的国家,一定会有一些分支机构。像新加坡、爱尔兰这种低税制国家的公司呢,就会去这种像中国、韩国或者是其他的一些对外汇有管控或者税制比较严苛的这种国家里边去设置分子公司,他不会直接从美国去给你设分子公司进去。所以啊,极狐GitLab的上面的母公司。
是新加坡的GitLab啊,不是美国GitLab。在中国,因为它有外汇管控嘛,挣到的钱是不可以直接拿走的。他可以通过一些VIE的方式,让美国的GitLab的这个上市公司可以享受到你所有的利润,让他的所有买GitLab股票的人都可以享受到,包括中国在内的GitLab的这种收益。
极狐GitLab呢,除了新加坡GitLab这个股东之外,剩下的股东基本上都是基金,诸如红杉、联想等各种各样的基金。那么这些基金里头,应该还有一些是美元基金。GitLab新加坡占46%,再加上一些美元基金进来,所以它这个里面的外资占比超过50%是非常正常的。
但是呢,极狐GitLab同时也在喊自己是国产替代,我们是信创。他怎么能够做成国产替代呢?明明是一家外资公司。第一个呢,他承诺说,我们是独立运营和国产化研发,就是他国内有整个的研发团队。第二个呢,他支持和适配国产的各种环境和系统,所有这些国产芯片、国产操作系统、国产数据库我们都支持,不需要再使用美国芯片或者是美国的这种操作系统,也不需要使用PostgreSQL这样的美国数据库,我们都使用国产的就完事了。
而且它的功能也贴合国内的需求,因为国内肯定在这块的需求是比较高的。它也有很多这样的改造、本地化的服务和支持。你有任何问题,我们这有人说中文的人给你提供服务。而且呢,做了大量的合规和安全方面的认证。说你作为一个软件企业,使用极狐GitLab,你不要直接使用美国那个GitLab,使用极狐GitLab,我们是通过合规认证的。这是一家这样的企业。
那么这种公司呢,它肯定是有非常多的实体,也就是非常非常多的子公司在下面。但是说子公司呢,不是那么科学。因为很多的这种公司跟最上面的极狐或者是跟新加坡的GitLab是没有股权关系的,就跟我们做VIE架构那个是一样的。它里头一定是有一些纯内资公司,在里面你去拿各种的认证的时候,各种合规考核的时候,一定是用这个纯内资公司去做的。
中国的在美国上市的这些互联网企业,实际上都是这么工作的。他们也是可以靠纯内资企业去拿到所有互联网企业所需要运营的这种牌照,然后再保证美国的所有股民可以通过买他们家的股票来享受在中国产生的所有利润。所以呢,极狐GitLab应该也是如此,它是一个VIE的企业。
它上面有新加坡Gitlab的这种大股东,一定也有纯内资,就是一点外资股份都没有的公司,握有所有的牌照。具体做的事情就是,他前面讲了,他拿美国的Gitlab回来去改造,适配国产操作系统、国产芯片、国产数据库、国产的研发需求,以及适配本地的服务和支持。那么到底是一个什么样的事呢?这个事情的本质其实很简单,就是公司内部纠纷。大概率呢,就是裁员了,估计是把这位兄弟给裁掉了。
一位软件工程师,对于VIE架构,对于国内的很多的系统,或对于很多的这种外资企业在中国运营的方式,不是那么了解的。兄弟就义愤填膺地跑出来举报了。Gitlab代码会不会定期向美国做汇报呢?这件事其实是这样,Gitlab大量是部署在本地的,而部署Gitlab的这个环境呢,很多压根就不连外网。就是你想去向美国汇报,你也没有这个能力,这个是比较普遍的一个情况。
当然也有很多公司,像我们以前公司,Gitlab那个服务器是连外网的,甚至我们的Gitlab的服务器还是在公网上,还根本就不在内网里头。在这样的情况下呢,这个服务器确确实实是会向Gitlab的总部去报东西的。当然报的是什么呢?实际上主要是Gitlab下面的一些版本数,他们叫实体数汇报,但是呢,他只记个数,算是满足Gitlab的一种虚荣心吧。具体的代码他其实是不会往回传的。如果你真的把这个用户的代码传回去的话,那么Gitlab的名声就算废了,就再也不会有任何人使用他,甭管中国人还是美国人都不会使用他。
所以呢,他不会往回去传具体的任何代码,但是他会把你的各种实体数,像刚才他讲的是你有多少个员工,你有多少个项目,你有多少个版本,你做了多少次发布,他把这些玩意会传回去。传完了以后呢,等下一次Gitlab去写财报的时候,他就写,我们一共有这么多用户用上了,这些用户里头涵盖多少个程序员,涵盖多少个项目,涵盖多少个版本,这个东西可以写在财报里。虽然统计不完整,但是我们也有,因为你一旦是开源版本,你部署了,或者特别是部署到一些内网里边去了,这个东西是没法往回报的。
像我现在可以把Gitlab直接部署到我们家NARS上,这个他没法往那个美国服务器上去汇报。下一次Gitlab发这个财报的时候,就不会包含我们家的数据。它就是这样的一个系统。所以,这里头你说有没有定期的向美国服务器传东西。
有一些情况是传了的。但是呢,你说有没有传代码,哎,他概率是没有。至于说公司的老板是不是定期要向美国的总部汇报,你是人家的分子公司,你凭什么不向人汇报?当然,你说我在汇报的过程中是不是泄密了,这个咱就不知道了。而且人家关着门开会的。
至于美国政府是不是应该给GitLab进行制裁呢,我觉得这件事呢,律师又有事干了。美国就是律师国家嘛,律师可以挣一些钱重新去证明说我们仅仅是授权给了一个中国的子公司,极狐GitLab下边的某一个子公司。这个公司呢,使用我们的代码,使用完了以后,他们再去向别人提供服务,这事跟我就没关系了,应该是可以进行隔离的。这不是什么特别大的问题。
但是这个事呢,叫癞蛤蟆蹦脚面上,他就恶心你。因为你一旦说了,就很多人说,哎呀,看,有间谍了,又怎么样了?现在呢,跟极狐GitLab进行合作的很多企业,都已经把这个页面删掉了。特别是刚才咱们讲这个中科星图,已经把这个合作的事情删掉了。极狐GitLab自己的网站上,也把一些不太适合出现的公司给删掉了。这是非常不好的风气,本来大大方方能说的事情,现在不能说了。
这个事情呢,很像什么呢?很像现在很多人去举报什么,退役体操运动员、击剑运动员、游泳运动员在短视频里跳舞,进行擦边表演,跟这个事非常像。为什么呢?你想想,这帮体操运动员,他参加比赛的时候穿那个衣服,他擦边不?游泳运动员能穿着棉袄下去游泳不?击剑运动员去击剑的时候,那身衣服显身材不?这个事情你说他是不是有擦边的?有人看了以后,是不是会有一些不好的联想?至少是举报的人自己,会不会有一些不好的联想?你也不能说他完全没道理,也就是如此。
但如果真的照这个方向发展下去的话,那以后我们是不是应该像穆斯林国家那样,大家都穿上黑袍呢?至于说使用美国技术,有美国资本的公司所提供的技术,这件事情你真的摘得干净吗?你摘不干净的,实际上在圈里头的人,大家就这么使吧。只有一些别有用心的人,可能像这位朋友,是被裁员了,还是出现什么样问题了,他就要跳出来恶心你一下。这个事情的本质大概也就是如此了。
好,这个故事就跟大家讲到这里,也借此呢,跟大家稍微普及一下GitLab到底是干嘛的。好,感谢大家收听,请帮忙点赞,点小铃铛,参加Discord讨论群,也欢迎有兴趣、有能力的朋友加入我们的付费频道,再见。