链得得APP注：2017年9月4日，这是一个令人难忘的日子。也就是在这天，中国发生了一件当时搅动整个数字货币市场风云的大事件。而今年的9月4日，链得得顺利举办第五期Demo Day活动。这期活动中，我们将探讨的主题是“智能合约安全与商业化出路”。

郭宇-安比（SECBIT）实验室创始人

郭宇 / 安比（SECBIT）实验室创始人

中科大博士、耶鲁大学访问学者。曾任中科大副教授，后担任知名金融科技公司副总裁。专注于形式化证明与系统软件研究领域十余年，具有丰富的金融安全产品研发经验，是国内早期关注并研究比特币与区块链技术的科研人员之一，二十余项区块链专利的核心发明人。

沈瑞-知道创宇安全服务部项目主管

沈瑞 / 知道创宇安全服务部项目主管

从事安全服务行业8年，参与了众多传统的web渗透与区块链行业相关安全项目。

区块链安全研究专家、资深架构师、资深IT技术培训师；北京哈移族信息技术有限公司联合创始人；乐宠集团技术负责人。

主持人：张华楠-链得得音视频中心编辑

下面是圆桌会议现场精彩实录：

主持人：你好，郭宇老师，其实一直以来我挺好奇两个问题。第一个，因为记得你们的团队曾经在发现了Fomo3D和LastWinner这两款两款资金盘类游戏在智能合约安全方面的一些问题，您能跟我们讲一下，当时发现过程中的一些具体情况吗，以及因智能合约安全漏洞产生的实际损失大概到了什么程度？第二个，我们都知道，以太坊已经从最高点跌到如今算是谷底的一个位置了。那么在您看来，从性能还有安全方面，抑或是币价方面，以太坊在未来一年当中的前景如何？

郭宇：事实上，我们团队最近做了一个比较重要的工作，就是我们对Fomo3D和LastWinner这两款两款资金盘类游戏做了比较深入的分析，从这些工作中，我和我的团队也学习到非常多的东西。这个事情的前因后果大概是这样的，我们的一个联合创始人正好到了硅谷那边，当然他是别的原因过去的，恰好就认识了我的一个校友，就和他闲聊，发现他最近在做大数据安全，觉得他跟我们蛮互补的，便邀请他和我们一起做点事。提出不如看一下Fomo3D这个游戏有多少人在玩，做个统计，很快对方就做了这样一个demo，我便提出我们联合PR一下吧，写一篇文章，就是讲一下有多少人玩这个Fomo3D大概是什么情况，然后我那个联合创始人半夜就开始看那个，看完之后，然后第二天校友那边就觉得，说好像有几笔交易挺可疑的，但是大家也不知道为什么，就把这个交易发到苏州这边，然后我就开始看，一看越看越觉得不对劲，这里面交易量，交易特别的奇怪，因为交易涨的特别奇怪，那个交易就是，有一排的交易全是发0.1个ETH进去，然后出来的就是1个ETH或者是0.18，或者0.3、0.5，最多的是100倍的，扔进去0.1ETH出来的是几十个ETH，就是大量的这种交易，而且这个交易都是从一个交易，一个合约发出来的，就很奇怪，就好象Fomo3D和LastWinner是金矿一样，只要有人来掏就能掏出钱来。

我们觉得这里面肯定是有问题的，就开始研究，那中间走了很多很多弯路。以太坊的交易实际上非常难分析，这是我们发现的一个关键点，因为以太坊那边有智能合约，人们的交易会经过智能合约，而且智能合约可以调用，就是一笔交易他可能在一个合约里面转了一圈，里面产生了很多内部交易，但是这个内部交易你是很难看得见的，你只能把所有的交易全部抓到本地之后，用各种技术去做非常深入的分析，甚至我们要自己写自己虚拟机，去把那些交易原封不动的再回放一遍，才能把里面的很多交易抽出来，当我们抽出来之后，发现已经很恐怖了，我们发现了一个巨大的母合约，因为所有的攻击全是这个母合约发出来的，这个母合约只要去LastWinner，或者是Fomo3D那儿拿钱就能拿到钱，我们第一反映就是，这个太恐怖了，然后就把这个合约逆向一下，发现这个合约里面他只允许五个人来调，这五个人就是不知道什么人，我们就想，那这五个人里面，我们把其中一个换成我们自己试一下，然后就布在另外一个点，就怎么攻击都不行，你把钱扔进去，掏不出来。就是把钱打进去，出来什么都没有，浪费了很多ETH，一点进展都没有。

后来我想这样不行，我们不能这么鲁莽的玩，还是应该好好深入，已经发了3天时间，整个把那个母合约全部逆向，没有原代码的情况下全部理解完之后，终于发现了一个很复杂的攻击行为，做的非常巧妙。然后，发现这个合约的整套攻击系统正处于3.0状态的，根据它这些关联交易，我们能找到它的2.0状态和1.0状态，1.0状态实际上在Fomo3D刚上线的第二天就已经开始开发了，在大概上线的第5天、第6天就已经1.0在跑了，慢慢变成2.0。当它3.0造出来的时候，恰好国内的LastWinner出现了，LastWinner跟Fomo3D几乎一模一样，但是改了一个参数，什么参数呢？它把空投奖池的比例从新的1%改到10%了，因为这个掏钱恰好就是掏的空头漏洞。这个LastWinner它的空投奖金非常大，所以这帮黑客就很嗨，花了30天时间就直接掏了1万（我记不清具体的数字了，反正几千个是有的），每天都在不断的掏，扔进去0.1个，出来的就不知道有多少。然后，就这样弄了3、4次，整个奖池就快掏干了，大概有将近一大半的空头奖池全是为这帮人构造的。

这个是让我们感觉到很恐怖的一件事情，原来攻击者是一帮非常牛的专家，他写的那个合约里的每一点，他都把gas的消耗降到最低，所以他们把那个攻击合约已经优化到极致了，我们都想不出来，哇，原来还可以这么干。然后，他把这整个的空头奖池比例，他的成功率大概能控制在70%左右，我们给他算了一下，然后他那个母合约创建1000个子合约，然后1000个子合约攻击的时候，他会又创建一个临时合约，但是用完之后立即销毁，因为当一个合约一旦销毁之后，他是不会存在于区块链上的，你这样的话，就相当于你去区块链上找这些攻击合约，你根本就找不着，你只能将这个区块链历史追溯到若干天前，然后回放这些交易的所有过程，才能找得到里面的细节。

随后，我们将发现的情况汇总成一篇文章，在那一天的上午发了出来。当我们看见阅读量直线上涨，非常激动。这个时候LastWinner最后大奖公布了，就是那5个人里面的其中一个，因为我们对那个数字特别敏感，就那5个地址，一看就知道，他们拿了大奖。

然后，我们就不知道怎么回事儿。过了几天Fomo3D也出来大奖了，这个时候发现问题了，我们发现Fomo3D和LastWinner都有一堆很奇怪的交易块，又花了一天的时间仔细去分析这每个合约里面的每一笔交易到底是怎么回事儿，分析完之后发现问题了，原来是黑客他用了一招去拥堵以太坊的一种最简单的办法，然后最不耗gas的，用拥堵一下，把以太坊堵住。堵住之后，他就是最后一个买Key人，他离这个游戏倒计时结束他就能拿到大奖，但是这个游戏倒计时快结束的时候，比如说像还剩1分钟，他开始拥堵，他用一种非常有效的方法来拥堵。

为什么他能拥堵呢？他是因为很清楚矿池的打包策略，矿池打包策略是这样的，矿池打包会选交易费用最高的那个交易去优先打包，但有时候也不是这样，他会有一个选择的可能。于是他们就造了一个合约，造了一种交易，这个交易一上来，我们就把gas pro设的特别高，就是送你钱，送矿池钱，矿池一看见有钱，他就优先拿这笔钱。同时，他把握住了一个好的送钱时机，送钱是什么时候送呢？他会看这个攻击者当前是不是最后一个买Key的人？如果是，我就送钱，如果不是我就不送钱。所以，他在很长的一段时间内，他就不断的发这种交易，然后这个交易甚至都会预先放在能矿池的内存池里，但是他如果不交易，他如果不是买K的人，这个交易它耗gas非常小，所以他不会打包。但是，一旦有人买了K，他就会成为最优先打包的交易。所以，他这个设置的非常巧妙，而且非常简单，他这样一下就把以太坊瞬间就拥堵住了。

这个奖池拿到奖之后，立即就松开了，就是一个非常高效、拥堵以太坊拥堵的非常有艺术，这是我们让看见了，也是感觉很恐怖的一件事情，所以发现这件事情之后我们觉得，Fomo3D游戏已死，不会再有人玩了。

很多人就问，那这个漏洞能不能补上？实际上是能补的，有很多能补的手段，也有，现在我们能找到大概2、3种，能补最后那种拥堵，补随机数的方法更多一些。但是不管怎么样，很多开发游戏的人，他可能小看了网上这帮黑客，他小看了区块链里面这股力量、他小看了去中心化的成本，只看到好的，没看到不好的，所以说安全是很核心的，安全是有很多机会。

第二个问题我就简单说吧，我很看好以太坊，因为以太坊有很多技术都在做，有很多很棒的团队都在做，他们很快的就可以通过。我觉得1年内肯定会有2个到3个突破的点，但这个我很难预测。

主持人：大概是哪几个点能说说吗？

郭宇：我觉得casper pos我还是比较看好的，另外一个是Possmu我比较看好，还有一个是ichanol的另外一个项目，我记不清名字了，我反正比较看好这几个，因为感觉上离实现已经不是很远了，包括分片，我觉得这个可能是在适当的时机就可以启动的。

主持人：刚才刘鹏先生说到“2018年上半年区块链的安全漏洞”，我们查了一下数据，发现上半年因为区块链安全漏洞而造成的损失已达27亿美元，那么从区块链行业的角度，想请三位来简单的讨论一下现在区块链最大的安全问题是什么？有什么很好的解决方式吗？思考一下。

沈瑞：我感觉这个问题还稍微有一点大，有点像宋高宗的岳飞，天下什么时候能安定一样。怎么说呢？因为我们做的很多项目，说的具体一点，它处在一个内忧外患，再加上形势不利的这么一个态势当中。

第一，今天照样又是9月4号，币价已经来了一次下跌，不管是怎么样吧，反正现在国内政府政策的力度是非常大的，很多我们的客户也都从北京、杭州、深圳搬到了新加坡、马来西亚这种地方来做政策的避险，这是政策层面的一个打压。然后，在内部，我们刚才说的他的团队，他的这些技术人员，其实你很难想象比如说一个年薪60万或者80万的工程师，他看到你平台钱包上几百个、几千个BTC的时候，他心里是怎么想的。其实他心里肯定是经不住诱惑的，这跟女人不要考验男人一样，平台你也不要考验工程师，工程师经不住考验。很多内部的盗币也很多，我们还发现有人盗币以后，他去对钱的时候也很担心，像国内大的交易平台，其实他们私底下关系都很好，要查交易记录的话应该跑不了。他要去国外、海外的平台去对，上了一个钓鱼网站，还损失了一点儿偷的钱。

所以，内部也是一个大的问题，再说外部问题，外部问题就是这个黑客现在就是利益相关的这种行为非常的多，其实创宇到现在，我来了3年的样子，创宇这个公司已经有11年的历史了，它最早从政府、小单位一直到政务信息化、到电商、到P2P、到区块链或者说是物联网，或者以后的AI智能或者什么东西，这些都不重要。重要的就是黑客技术始终围绕着外围应用安全这一块来给你做一些攻击，比如说你有什么平台、你有一个钱包，不管是币币交易还是怎么样法币、OTC或者是什么东西，它总是有一个APP，它总是有一个客户端要给你用，或者有一个网页给你用。它这个网页上就有这种传统的各种结石问题、脱库的漏洞，包括一些私钥泄漏的问题。

这种问题其实都没有脱离……在外部安全这一块，其实没有像区块链革命的这么狠。就是说你底层这个信息的同步，这个共识算法是很新的东西，没问题，但是你一旦到了落地的时候，比如说你提现、比如说你发奖励的时间，那就还是外部应用上的问题。所以，很多的黑客在结合着社工的方法，对这种区块链相关的行业做了大量的攻击，我们见过比如说他在掌控了公司的邮件网端和财务服务器以后，他是怎么做的呢？这家公司也是一个卖矿机的，他的销售方式是我接受这种数字货币或者是美元的打款，你付款以后我们的财务会确认付款，确认完以后，那你的机器已经在工厂和订单当中，你2个月以后会拿到这个机器，这个钱我就先收着。

其实这家矿机公司它有现货，它就不给你，我既收了钱，我还得再给你磨合2个月，我再挖点币，再挣点钱，2个月以后把东西发给你，这个模式一直运行的很好，尤其是一家上涨在2017年年中的时候，行情很好的时候，它收益非常多，所有人都不再关注说几个币或者几十万这种东西是怎么回事。

但是，慢慢的他就发现这个钱有点不对劲了，这个东西发出去，钱没到来，这是怎么回事儿呢？就是因为黑客用了一个定制的私有钱包地址，这个地址的后几位和前几位应该是和他们官方的付款地址是比较类似的，这个财务人员大家知道，在对账的时候，其实钱包地址非常长，基本上是不太会每一位都仔细去核对过，他一看前几位是一样的，是一个比较熟悉的感觉，然后给我OA上批一下，然后把东西给发了就完了。然后，付款方根本就不知道你真正的地址是什么，你邮件给我发的地址是什么，我就在网上打钱就行了。所以，在这种漫长的几十万、几十万这么偷的情况下，最后发现钱始终是对不上，就发现这个问题了。最后我们发现前端店销销售人员的电脑上就有这种木马的痕迹，但是它的产品也已经不销售了，换了一个几代几代的矿机，所以他当时的损失就比较大。

在经受了几百万的损失以后，这个公司最后愿意给安全掏的钱是多少钱呢？就是20万。他最后的决定也是比较……我觉得很有效吧，可能形式上不太好，但是很有效，就是我不再有这个网站了，我就通过朋友介绍去卖，因为他们的圈子，混圈子嘛，其实个人或者所谓的B2C形式在区块链有点行不太通。你个人的话你买矿机不太现实，你说我买一台放在阳台上或者哪儿，其实也不太现实，都是那种大的货厂的老板，他们这种老板都有自己的圈子，我与其维持一个我也保证不了安全的东西，我不如说我熟人销售，走人对人的、底下的交易就完了，这是一个。

其它的大多数像火币，其实它们自己不管是自己投资成立的子公司还是自己有一个专业的团队，其实它们对于安全的投入都是巨额的数字，安全还是IT里的一个奢侈品。很多公司可能还在说业务拥堵、网络攻击层面，在解决这个，其实很多人可能都想不到自己也有需要安全服务的这么一天，他可能也挺不到这么一天就倒下了。一直运行的话你肯定是需要这么一个团队的。接触到的这些客户损失的话，小的也得有大几十万，多的几百万，所以说整个区块链行业，我觉得如果没有政策封闭的话，可能它会像一个上交所或者深交所，它满足交易量的同时，安全性肯定也是没问题的。

但是，现在在政策的这种情况下，很多人只能是野路子出来，自己可能几十万招一个人帮着搞一搞，把典型的问题处理一下，真的有那种突发或者特别针对性的方案，也很难做出来。可能更多的就是有一些在你技术或者是这种管控能力不到位的时候，只能用传统的方法，那比如说我有一个线下的应用场景，可能是菠菜或者是什么东西，那你要转到钱，你怎么转呢？我们这个客户他又通过QQ来转，就是我天天QQ跟你说话，谈好了以后，那好，你给我某个账号，我往什么地址打钱，人民币也好、美元也好。你打了钱也好，我直接发给你一个硬件钱包，这个硬件钱包里面是存着我等额的代币，这个代币不会在市场上流通，只在我的线下商店里用，你拿到这个钱包，你出国去用，然后你回来以后，再通过这个渠道，再把这里面的币，不管是多了少了，还给你转到你之前的账户上，来帮你做兑现。

这个可能我觉得是一段时间内没有办法突破的，这个可能跟技术没有太大关系，更多的是政策层面在丰富它这个行业。所以，今后如果说政策上能进一步放开，或者说这种币价有好转的话，肯定会有新的办法，或者有新的形式来完成他们这种比较常规的交易，而不是说像现在这种，或者偷偷摸摸、或者很原始的方式，这种方式我觉得谈起来还是有点太早。

主持人：刘鹏老师，您对这个有什么想法嘛？

刘鹏：我这个也是对个人的一些想法。

第一，在安全这些方面，首先我们得先提高安全意识，而这就牵扯到有哪几种人要参与到这个情景当中来：

1、投资者或者说这些持币的人，那么你的安全意识如何提升？你的私钥怎么管控？你是不是会被钓鱼？你是不是在正规的平台交易？你是不是把你的这些代币用合理的方式、合理的方法去用？那么这些个人用户或者投资者，你的安全意识提升，其实对区块链的整个安全也是一个很大的，甚至是具有里程碑意义的一步，当我们认识到手里的数字货币并不安全的时候，我们应该怎么做才能让它更安全一点，这个是很关键的。

2、刚才也说到了工程师这一块，我们不能排除工程师作恶，我们也不能排除项目方作恶，但是因为每个人的人性决定了大家都禁不住诱惑，都一样。当看到这么大财富的时候，你会怎么去做？我们什么样的内部机制来管理？怎么样去隔离？怎么样去监控？你既然做了这个行业了，你就不可避免的要被监控到，那么这种方式其实也是提升的一种方式。

我们说整个生态上，智能合约这个层面其实更多的一个灾难发生点，这个刚才一些案例大家也看到了，智能合约发生了这么多问题。

那么发生这些问题我们总结一下，有几个原因：

一方面写智能合约的这一部分开发工程师，他其实并不是专业写智能合约的，很多人都是从其它的领域转行转移过来的，临时的，我看了一下语法、看了一下结构，了解了一下环境，OK，这个东西好像是这个样子，他写完了以后，一跑，好像没有问题，那么一个合约就产生了，这种合约我们在审计中经常见到，一些合约写的很随意，根本没有顾及到安全性。所以，这时候我们才会有我们的一个业务叫智能合约撰写辅导，我们会告诉你你这么写会有问题的，会有什么样的问题？什么样的问题会在你那儿发生？那我们的检测过不了，原因是什么？你要怎么调整？这方面需要说很多的工程师投入进来。

另一方面，我也调研了一下，国内的话，到现在为止，没有专门有一本书是来讲这个Solidity 语言开发、智能合约是什么样子的，没有专门的，都是以太坊的或者区块链的某本书里，抽出一章来讲是怎么回事儿，但是没有单独的一本书去讲Solidity 这个语言是怎么诞生的，原理、机制、运行方式、包括它的一些特性，没有任何一本书拿出来讲，这就是对于我们国内的很多开发工程师来说，他的英文水平又没有达到可以很自由的阅读英文文档的能力，所以大家就是你抄我，我抄你，所以A合约有问题，B合约可能会有类似的问题。

这种状态下，我们的智能合约想保证的，从编写的这个层面来保证安全，就很有难度。并不是工程师能力不行，只是说我们给他的这些相关的资料、相关的资源还达不到他能够编写出这种很健全的智能合约的程度。

包括作为传统互联网企业也好、新兴的这种项目方也好，他的测试工程师对整个区块链机制的理解、对这些区块链体系的理解不到位，你让他去测区块链的东西，他测不了。智能合约其实他也测不了，所以才会有我们这种专业的安全机构出来，OK，你们做不了的事情我们来做，你们不了解的事情我们了解，那我们来专业做这个事情。

所以说，对于安全的投入其实是每一个做区块链投资的这个项目方也好，投资者也好，你其实都应该关注这件事情，都应该有一定的投资，像作为项目方来说，你需要找安全公司做审计，帮你出解决方案，那作为投资者来说，最起码你资产大的时候，你得去买一个钱包来保证你的资产安全，你说你就一个以太坊、两个以太坊，无所谓，我估计没人看得上，但是你量大的话，你总是要……最起码的你是要购买一个钱包，你至少要把你的钱分散到几个账户里吧，不能放一个账户，让人一锅给你端了，这不合适。

实际上，安全意识的提升是整个行业中每一个角色都去做的，那么同样作为项目方来说，我们需要跟安全机构来合作，把智能合约层面的问题在部署之前尽可能的抹杀掉，不可能全抹杀，这个我们也保证不了100%，只是说让他的攻击者成本有一个提升，到你扛不住这个成本的话，攻击自然就会越来越少。

当然，这其实是我们说的一个构建意识和生态，这不是说靠我们一个人努力，也不是靠我们一个机构努力，而是整个行业都得努力。我们可以提供服务，对于项目方来说，你有没有意向来购买这个服务。

当然，我直接就用了“购买”这个词儿，因为毕竟我们的服务不是无偿的，是购买服务，那么你购买服务你愿意付出多大的代价？你认为你的东西价值是多少？你要怎么去匹配？

举一个自己身上发生的例子，我丢过一辆自行车，这辆自行车也不贵，还不到5000块钱。为什么丢了呢？我觉得这自行车没必要买个太好的锁，我就买了把20块钱的锁，然后它就丢了。现在我就是1000块钱的自行车，我也要买200块钱的锁，所以我的自行车再没丢过。你为安全投入多少，你就会得到相应的回报，是这样的。所以，大家对安全的投入一定要有这种意识。

郭宇：区块链的安全问题，我觉得还是人的问题比较重要。我接触最多的就是seed丢了，就是放到那个手机钱包里，然后seed找不着了，这是我见到最多的案例，挺感慨的。那怎么办？我找谁？有没有客服什么的？反正也很没办法，这个去中心化，高科技，没办法。

我觉得还是人的问题，就跟刚才说的这个例子，只愿意花20万块钱……我们也遇到过这样的坑，包括甚至是说我们有过一个客户，他这个合约已经上线了，已经部署了，明知道有个安全漏洞，然后我们就跟他说有安全漏洞，他没有直接跟我说，他是通过一个朋友，他说让他们闭嘴吧，不要去外面乱讲，就没了，就再也没有下文了，我们觉得这个怎么弄？对我们来说就是面临着一种道德上的……你要做个决断，到底这个事情你是要公之于众，还是说你永远捂着，怎么做？我犹豫到现在，我还在犹豫，不知道怎么做，哪个做是好、是坏，在这里面你找不到一个评价标准，已经失灵了。

所以说我觉得还是人的问题，当然大家都知道安全好，不安全不好，但是可能放在某种场景下，还真的不一定让你很容易做出一个决策，所以说我觉得人的问题很关键。

我觉得包括很多方面吧，包括项目方、包括每一个投资者，每一个投资者他也是，那出来一个漏洞，我要不要跟你说？他一听有安全漏洞，那要不要讲？讲了币价就会跌。然后不讲，那是不是就把自己较掩耳盗铃，别人都不知道，挺纠结的，我到现在都还在想，天天思考这个哲学问题。

主持人：接下来问一个比较细节的问题，也是一个老生常谈的问题，就是这个随机数的问题。很多都被黑客侵入，针对这个，郭宇老师，您怎么看？

郭宇：这个随机数，我觉得这是一个技术问题，而且还是很难解决的问题。我觉得从技术上来讲，随机数用在不同场景上，要求不一样，一个要求非常安全的随机数是很困难的，一个很完美的随机数是很困难的。可现实中我们又需要随机数，又需要在一个公开透明的环境下产生一个随机数，现在没有特别好的方案，但是有一些环节方案，没有那么随机，但是差不多。你在基于你要选择相信一些东西的情况下，去相信它没问题，我觉得这个还是可以做到的。

安全就是这样一个很奇怪的东西，你总要相信那么一点东西，你相信了，明天这个世界不会毁灭，今天还可以好好睡一觉，但你是相信，就把这个作为一个假设，出门骑自行车到底安不安全？你这也是有很多担心假设的，反正安全里面绝对没有完美的东西。现在的游戏里面这种场景是有解决方案的，我们后面也会做这样一系列的文章和科普，包括一些代码模板会放出来，希望也是给大家做点事情。

总的来说，但我们接触到另外一点，为什么说人的问题？我们接触到有一些游戏，特别是做游戏的找到我们，我们说这个地方有，他说我们要做个仿Fomo3D的，我说没问题，我说那个安全漏洞你知道吗？他说知道，我说那个要不要修？他说那个不需要修，先上线再说，先捞一锅再说，这种心态还是非常强烈的。

但我觉得这个当然是很不健康的，你可能捞那一波，一天后可能就出问题了。随机数我觉得也是人的问题，因为随机数里面有一个知道不知道的问题。主要的那个问题怎么解决没有人提前知道这个数，知道不知道这件事情它不是一个技术上的问题。当然，有机数可以做，但是现在还很难。

还有一个问题，随机数现在有很多就是多方通过经济激励来多方产生，每个人都不知道隐含的水平，每个人都不知道自己的水平，每个人提交一个数，然后通过一起算。可是最核心的问题是你怎么保证这些人不串门，如果这帮人去给一个世界上最大的赌场出随机数，其实这个很有问题的，你只要买通这个人，就能控制他给你发牌。所以说，很难吧，现在我们还没有找到一个非常完美的方案，相信也许未来会有。

主持人：沈瑞老师，对这个您有什么想法？

沈瑞：我们这边其实更多的是安全服务部门测试，就比如说我看到一个目标，他如果这个门实在是门卫特别厉害，我进不去的话，我可能就会考虑翻窗户进去了，这个随机数问题对于我们来讲可能是短期内没有什么现实收益的问题，可能我们不会太多的去考虑。在其它的方面发现问题，可能对我们做安全工作来说见效更快一点，随机数这个可能还是太遥远了一点。

刘鹏：其实随机数这一块，我个人当时发生问题也研究了一下，大家也知道本来计算机领域就没有真随机数，所以我们在一个伪命题上去讨论怎么安全，我觉得没有必要。只能说我们尽可能把随机数产生的这个复杂度增高，越来越复杂、越来越复杂，很难被撞到、猜测到，我们只能做到这一步，因为我们生产的不是真随机数，那我也无能为力。

我也看了一下，它能解决问题，但是你只要开源了，它还是有机会去撞的，因为我们还知道总有人技术比我们技术高，我们不是技术最好的，总有人技术比我们更好，他最有办法的。我们做防守的这群人就这样，我们只能被动，我们没有办法打出去，我也想打出去，但是做不到。所以，随机数这个问题我们也很无能为力。

主持人：感谢，还有一个问题是网友们想要问的问题，问三位，目前这个合约审计的技术，就是符号的执行、形式化验收这两者。针对审计部分，它们之间这个技术差异在哪里？形式化的验收和符号执行它的差异在哪里？

刘鹏：形式化验证这一块，郭宇老师是专家，我觉得还是他聊吧。

郭宇：他问的是形式化验证和符号执行是吧？符号执行是一种技术，形式化验证是一个领域，所以说面它们之间很难去做一个对比，但是形式化验证里面有一些别的技术，像mode checking和定力证明，符号执行也是一种，但是它很难被归到形式化验证里面，主要原因还是符号执行本身现在有一些技术上的缺陷。符号执行是工业界已经在用的一个工具，比如我举几个例子，像Microsoft的产品office，它在最终release的前一星期，然后会扔到Microsoft一个机群，大概几百台机器组成的机群，那里面就是大量用的符号执行这个技术，就是把这些软件扔进去，使劲在里面各种跑，穷尽各种测试中没有遇到的这些问题，尽可能去找到问题。

它在工业界实际上应用还是挺广的，包括BAT，也包括一些大家能摸到的工具来说，它都大量在用。但是符号执行里面天生有一些难题，有一些很难的天花板，这个就牵扯到具体技术细节了，但是其中一点就是符号执行有可能会重度的依赖背后自动定理证明器这样一类软件。

这类软件它最核心的思想就是它有一套自己的算法，你可以把一个定理（这个定理是个数学定理），你扔给它之后，它自动的去找到解答、找到证明。但是问题在于自动定理证明本身在理论上叫半可判定问题，就是它要么找就找出来了，找不出来的可能是死循环，它不能保证立即能返，它不能保证一定能返回结果，它的这个算法是个半判定的。那这样就意味着说实际在运营过程中，当你用符号执行去找到一个解决……走到某个地方要解一个命题的时候，发现你解不出来。

通常给一个软件，比如说100多行C写的代码软件，它可以会产生上万个定理去跑。那这样的话，对于实际的软件来看，它就会对每个定理证明器的容忍时间特别短，从几秒到1分钟、2分钟，这个是不同产品不一样，如果不返回，就不求解，解不出来，那这个会导致符号执行在实际运行过程中它很难去便利所有的……

另外，符号执行对于软件里面特有的一些状态是很难做的，比如说像C语言里面的指针，指针别名，符号执行是很难做到的，符号执行必须跟别的技术组合在一起才能做深入的代码漏洞找寻这样的一个工作。

当然，智能合约有智能合约方面的问题，但是也挺难的，智能合约上也有指针。包括循环产生的爆炸，比如说智能合约里面有自串、有bace这些不定常数组，对于不定常数组来说，对于符号执行这个技术来说，非常大的挑战，它很容易就状态爆炸，但定理证明器的工作能力非常有限，你就是放很多机器都没有用，它不是像深度学习一样，你堆机器就能搞定的事儿，这个你堆机器也不一定搞得定，它没有一个很容易并行化这样的一种算法存在。

总的来说，全自动就很容易产生一个天花板，你很难在天花板上再往上跨越了。但是，在人工构造声明里面有一类技术是通过人工深度干预构造成的这种技术，不太受这个限制，这是人工构造声明最大的问题就是人工构造的成本比较高。

所以，这个网友问的问题比较深了，但是现在没有一个很完美的单个技术在实际……不管是商业还是工业应用来说，包括理论研究也是，它通常是好几个技术绑在一起，想去探索新的方式，都是这样的，单个的一个符号执行checking，proofing等，都是这样的，单靠一个技术很容易到一个天花板，它每个技术都有它的长处和短处，一定是后来把这些技术绑在一起，就跟比特币一样，它有很多密码学技术是在一起的，不是其中一个东西特别厉害。

主持人：他其实有追加，可能说做这个合约审计都是用符号执行和形式化验收，他想问的其实是说不同平台之间的技术差异在哪儿？或者说具体一点，比如说币安实验室有什么突破性的研究？或者输出？

郭宇：这个我觉得两方面吧，一方面看论文，今年有个信息安全有个权威的顶级学术会议叫CCS2018，上面他们又发了一篇文章，就是类似的技术，怎么用这个东西去检测智能合约里面可能的这种安全漏洞，有这种学术文章出来，起码可以看到它非常创新的一些点，这是很明白摆出来的。

另外一类就是开源，也有一些用符号执行技术开源的一些平台，我们自己也有一个符号执行的引擎，就是说那这些东西实际上，我觉得也是要开源出来大家慢慢去比较，做这种评测，这个肯定是需要的，一个是工程上的实践，一个是理论上有没有一些新的技术出现。

所以，这个差异化现在不好说，现在PR的成分多一些，实际的东西我觉得这个慢慢时间沉淀下来，好的东西可能会漏出来，互相也可以学习，所以说我觉得这些不同平台之间，也互相取长补短，互相学习，很先进的技术很快都会融入到很多的平台里面去。

主持人：感谢，接下来我们再来聊一个问题，我们的主题题目是关于智能合约安全商业化的创立，针对这个商业化，就想问一下，未来哪些又会成为商业化产业最高的？

沈瑞：盈利的话，可能还是游戏会比较好点。其实赚男人的钱可能比赚女人的钱会不会更好赚一点？我也没太想明白这个问题，可能不太了解区块链现在挣钱的都是哪部分，刨掉ICO或者是这种币的ICO的话，其它的有待商榷。智能合约肯定要贴着风投走还行，如果ICO不行的话，可能就是区块链游戏，如果游戏不行的话，也有可能是博彩，可能在这种，应该就类似于黄赌毒这种比较挣钱。

主持人：走在法律的边缘。

沈瑞：我感觉他们已经是在灰色地带了，在往里走了。这块落地的话，合约审计现在看不到什么特别多的、新的路径能挣钱了。像平台的话，我们有像整体的运维服务、黑白粉的测试，包括公链、私链，像一些联盟链之类的，都是可以做这种相关的功能性的审计、安全性的审计，这些都没问题。

其实作为我们安全公司来讲，这个问题其实是比较好想的，你P2P火的时候你就做P2P就可以了，区块链火的时候你就做区块链安全就可以了。跟具体区块链他做那个行业没有太大的关系，就跟你什么公司都需要一个保安一样，我们其实是一个相对于服务性质的行业，并不会说因为你区块链从交易所改到……交易所特别火，现在变成智能合约特别火，所以我们也要跟着做很大的改变。其实我们没有特别大的改变的动机，也没有必要这么做。我理解的就是这样。

刘鹏：其实我觉得我们俩的角色比较相近，因为我们都是关注技术，我们确实不太关注商业化的问题，因为我们就是有问题我们解决问题，有问题我们把问题解决掉，至于这个东西怎么赚钱，我觉得这应该是另外一个团队来解决的问题。但是你要正常预测的话，说实话，我个人真没考虑过这个商业化应该怎么办，因为我个人还是感觉想把这些技术上的东西玩明白，比较好玩一些，所以商业化这个让他们操心去吧。

郭宇：区块链商业化，这个我们是不断在探索，因为我们才探索的4个月，现在技术方面还有很多工作还需要做。另外，我感觉智能合约审计这个趋势就是智能合约做的事情会越来越复杂，这是能感觉得到的。Fomo3D现在已经有1000多行的代码，包括还有一些没开源的，大概有2000多行。像半年前，我见过1000多行的代码，非常少。现在我觉得动辄上1000行就相当多了，特别是游戏类的许多，我觉得未来还会再增加，它的复杂度增加，实际上对安全审计的门槛相当于在提高，因为现在对于这个ERC20的Token审计的话，相对门槛会低一些。

但是，我觉得未来做复杂的事情，我觉得还是要出现几个现象级项目，包括以太坊这种，像一些智能合约新的技术在继续发展。技术驱动的时候，后来会出现很爆款的一些东西，那个东西是市场应该会非常大的。另外一个，也有一些门槛，所以说现在进入的这些公司，应该是能积累足够多的技术和产品、服务，各方面都准备好了以后，然后再一展身手。现在我觉得基本上这个市场也还可以，虽然有点低潮，但是还是有人在努力着去改善现状。做DAPP的团队还是越来越多的，我能感觉到。这是我的看法。

主持人：我再问最后一个问题，也是我们之前在介绍项目的时候总说这个方案特别贵，比如说如果是同样100万，然后只卖20万的效果不一样，卖200万的效果不一样，就是说舍不得孩子套不着狼这个概念。我想说以后未来会不会有可能变成免费的方案？就是这种方案，包括我们10多年前使用一些杀毒软件的时候都是要付费的，经过大战以后，慢慢向大家普及了，会不会以后也会有这样的趋势？

刘鹏：其实我们认为，我们希望推出一种叫做“安全合伙人”这么一种概念，安全合伙人是什么概念呢？其实就是说我跟你共存亡，我跟项目方是共存亡的，你的存在才能延续我的存在，所以我为你做安全的这些工作其实是为了大家一起成长，所以我们叫“安全合伙人”这么一个身份，就是我来帮你做一些安全，比如审计、保护、监控、检测等这些由我们来做，但同样的话，你可以不付现金，但你可以考虑给点东西给我们，这样我们共同成长。

我们以安全方式来入股这种方式来大家一起合作，这应该也是未来可以讨论的一种生态、一种方式，因为这样大家一荣俱荣、一损俱损，这样对大家都有好处，对行业也都有好处。

沈瑞：你说免费做我突然想起来了，我就想起了360，那你就要承受各种垃圾广告、私人信息的泄漏，我觉得个人用户……就是百度的人也说过，中国用户不在乎自己的隐私，其实开放记录露出去，他还很害怕，他在谷，他只是说现在想用付费的可能也找不到，这个我觉得对这种企业的安全来讲，我们是知道创新方面是绝对不会做类似战略上判断的，我觉得这个是绝对不行的，虽然我们面对过一些利用招标规则、一部分中标、一部分中标什么的这种。

事实上证明，它一块钱中标这个项目也做不好，我们都知道100万的项目，如果他10万报价去做的话，他也是做不好的，最后交付出来的只能是一个对不上号的东西。有一个故事（大家可能都听说过），一个爸爸让他的女儿给他接杯水，接完了，渴了，再接一杯水，再渴了再给我接一杯水，他在想这个女儿才刚刚两三岁怎么就会接水呢，她只能从马桶里弄水，因为高了她够不着，所以你就只能喝这个水。

如果你非要用一个特别低的价格，去采购一个不对等服务的话，其实你得到的是什么？这个就显而易见了。至于说价格（安全服务的价格），其实我刚才也说过几次了，安全是个奢侈品，其实它再奢侈，也超不过IT投资的10%或15%，也就是这些钱了。

这个还是要看整个公司对风险上的综合考虑，如果他觉得自己受保护资产的价格本身不高的话，他可能少一些这种的，多一些运营费用、推广费用，如果说它真的是一个以这种IT资产为核心竞争力的话，它相关的投入必然就会高。

所以，这个时候咱们准备的服务价格能不能降低，还是要看你的服务需求一个水平。但这个时候像大的公司、大的团队他会有一定的优势，比如像富士康做一个手机，它本身人工成本就很便宜，可能相对小的作坊，它不能做这种批量资产，它要做一些定制的，定一些DIY的东西可能会挣钱，这就像其实我们三家公司坐在这儿，应该就是三个不同规模的企业了，像我们做这种大的输出、这种战略级的合作，其实绑的大平台是很多的，这个就是不同的公司有自己不同的运营方向，资金的话，现在公司也比较开放了，像数字货币交付、支付，或者说××0149050（首款，尾款）的支付方式，其实都很灵活，这些都还可以谈。

我觉得只要是在一个业内相对合理的范围，因为我们不可能一个项目别人报5万块钱，我们非要报到10万块钱，这是不太可能的，不然也做不到现在这样，只要是一个相对的范围我们都是可以谈的，这个质量也是可以保证的，就这么一个状态。太低价，尤其是免费这事，我觉得特别不靠谱，尤其是你免费把代码，比如你白盒审计它不要钱，这个感觉还是不太行。

郭宇：反正最近看见了很多做自动化审计的场子，前一阵子腾讯也做了个自动化审计平台，包括应该有很多了，我们看下360当时为什么免费，其实360免费应该经历了一段时间，在做商业模式上的一个变革，它通过免费杀毒软件，它在什么地方赚钱，它是导进来流量通过它的浏览器去变现，就是说它虽然免费的是这个，它通过免费这个把竞争对手给压下去，同时引来大量的流量，把这个流量变现，所以它是有一套组合权的系统打法，不是说光简单的一个免费。

相信没有谁愿意直接去简单免费这个，没想清楚，那可能是自己死了，让同行不爽，自己也死了，我觉得这里可能会有侥幸者，就是他想到了一种别的变现手段，通过免费这个存进来在别的地方赚钱，这个有可能（很有可能），但我现在还不知道，我们也是在观察，看看这个未来的走势到底是什么样的，所以我觉得免费真的有可能，但第一个谁来干不知道。

主持人：非常感谢三位的回答，到现在我们活动已经进行了2个小时，三位也都辛苦了，也感谢各位朋友到场的支持，接下来我们来合个影纪念一下，请参与到我们活动的这些朋友们来到前台。

　　本期的云云众声将讨论四大话题：1、新至强;2、挖掘中兴云数据中心峰会;3、IDC首评软件定义存储市场;4、惠普忙推产品和并购。

　　这次更新的版本是来自于至强E5这个系列，官方名称是E5V3。这从某种角度来说它是E5按部就班一年一次的更新换代，也代表了其生产工艺或核心架 构的变革。其外围支持了DDR4的内存，可以认为这是DDR4正式开始替代DDR3在数据中心地位的一个开始。其最高速率达到了2133，从这点来看是一 个新时代的到来，虽整体来看没有什么特别的亮点，但它对数据中心整体能力进步的贡献是毋庸置疑的。至强平台配有相应的ASIC芯片加上定制的软件定义的 层，以实现软件定义网络、软件定义存储。从总体战略来讲，这次发布的意义在于说它为软件定义的世界提供了一个新的平台，提供了一个新的能源的动力， 自己也强调其理念SDI。软件定义的目的之一就是打破资源存贮物理性的壁垒，池化资源达到更好的利用资源的目的。E5V3的发布对于整个数据中心软 件定义的演化是一个更有力的支持，同时软件定义本身进一步的优化也会巩固至强家族在数据中心的地位。

　　2.挖掘中兴云数据中心峰会

　　本届中兴云数据中心峰会代表了中国IT发展的态度，同时也展现了中国的IT实力。中兴在次大会上也展现了其自身的实力，国际化的中兴也越来越介入到传统的 企业级IT市场中了，这与做运营商的经营方式有大大的不同，中兴需要好好的展现自己，要有非常系统和带有前瞻性的市场宣传策略，中兴以智慧城市为切入点发 力其IT的相关解决方案是很好的选择。此次大会展示了中兴在IT基础设施级别的构建能力和其服务器产品线相关虚拟化的解决方案，中兴代表了国内IT厂商的 新态度。

　　3.IDC首评软件定义存储市场

　　IDC从存储管理软件这个市场切入，所评数据真实体现了市场现状，包括现有规模和发展前景。不是说软件定义存储就是一个主流，而是它肯定是未来发展的方 向，软件定义的好处是无人能拒的。所以对于用户和相应的解决方案提供商来讲都要从各自的角度去看软件定义存储的趋势。

　　惠普不久前开发了自己整体的Helion解决方案，其中包含了其基础自动化管理和基础设施，云管理平台，自动化软件，还有它融合的基础设施，另外包括了集 成的解决方案CloudSystem，这就是Helion的OpenStack发行版，这样的好处在于惠普可以针对自己的硬件平台做一些定制的优化，等于 说它这个发行版可以在惠普的这些CloudSystem平台上能有一个更好的表现。惠普已经做好了这种全方位OpenStack的服务支持的能力，也可以 看出它OpenStack这种业务方向的决心。此外，惠普CTO发言的理解为，硬件设施如若做不好，全力发展软件定义是本末倒置的，其发言也是为惠普未来 的一系列新的硬件创新来去做引子。惠普收购Eucalyptus以Helion公有云服务的能力，其强劲的横向扩展能力和整体云的规模的能力会帮助惠普 Helion公有云服务。

　　杨昀煦：各位网友大家好，又到了我们的《云云众声》了，反正我是挺爱看这个的，不知道大家喜不喜欢，第一是看 完这个咱们立马就放假，特别高兴的一件事。第二，这一周的事都不用您使劲去翻，就能看到我们效民总的评说，我觉得这件事还挺好的。而且这周我们效民总也特 别辛苦，又给我们带来中兴的这个话题了，中兴云数据中心。

　　杨昀煦：就是这件事，但是我们第一还是要谈的是我们的至强，听这个名就特横，它现在又推出了一个新的更新版本，那您觉得它这个更新版本和之前有什么不一样，就是有什么提升吗?

　　赵效民：主持人这个话总是关键点要留给我说，至强有好几个系列，这次更新的版本是来自于至强E5这个系列，官方的命名是E5V3，V3，V就是Versions第三代，第三代E5在美国时间9月9日正式发布了，在北京也是9月10日中国正式发布。

　　这次发布其实从某种角度来说它也算是一种按部就班的这种E5的更新换代，我们也知道在去年这个时候9月份E5V2发布了，可以看出来E5其实是一个一年一 次换代的这么一个周期，每年其实也是代表了它的生产工艺或者它的核心架构的一个变革。其实到今年是Haswell-EP，其实算是一个架构上的变革，算是 tick-tock，tick-tock我们知道tick-tock两个阵列，一年是制成工艺，一年是架构的变革，今年其实在架构变革，到明年 Boardwell到14纳米的时候就是这种制成的变革了。

　　今年E5V3和去年的E5V2可以认为都是22纳米的这么一个生产工艺，只是说现在的CPU核心数量从原来V2的12核变到了今年的18核，加上它的这种 它每个核支持两个超线程，其实相当于一颗CPU36个超线程，一台双插槽的服务器就是72个线程，将这种计算密度提高到一个新的层次。

　　所以说从整体的这种E5V3的发布来讲，在很多人眼中其实算是一种按部就班这种更新的迭代，当然从它本身来讲我们也知道它核心架构有所调整，外围也支持了 DDR4的内存，我们可以认为这也算是DDR4正式开始替代DDR3在数据中心地位的一个开始。目前来看，最高达到的2133的这么一个速率，还是比较让 人感觉到比较快乐的一件事情，因为我们知道DDR3现在是1866，现在DDR4是从1600起步，开始到最高了，要2133，未来肯定还会更高，这个仅 仅只是一个开始。

　　所以说从这点来说也算是一个新的时代的到来，由E5V3带来的。另外，包括它这个AVX整数的位数，整数处理的位书，指令级的位数也从128到256比特，其他的QPI的速率达到了9.6G，我记得没错的话。

　　总体来看，其实E5V3真的会像某些人看它没有什么太大的亮点，但是从整体来讲这个数据中心还是需要不断往前进步的，尤其是很多对这种计算效率，需求不止 境的这种领域，更多的核，更多的这种计算密度，等于说单个一个计算空间内它的计算密度已经提高了1.5倍，因为它核心数量提高了1.5倍，意味着整个机房 的利用，单位面积的计算能力，容量也提升了1.5倍，所以从这个角度来讲对于数据中心整体的能力的进步是毋庸置疑的。

　　另一方面来讲，E5V3它的产品型号有大量的扩展，相对于V2的型号来讲它最新出的第一代，就是这一款系列的叫2600V3，这上头主打产品，为后续还会 像以前有2400和4600，2400是低端的廉价两路产品，4600是廉价的4路产品，因为再往上4路还有它的E7系列，那个我们现在不用多谈。

　　所以从这个角度来讲，2600V3相当于V2有很大的型号的扩展，也是因为它本身所肩负的使命是不一样的，这个使命的意义在于说是软件定义，软件定义带给 我们很大的一个想象空间，说白了软件定义在目前来看在很多人眼中其实就是拿X86服务器做以前专用设备的这种设计，比如说网络、存储，现在基本上主控器， 像存储主控处理器基本都是X86至强了，都是至强E5系列级别的，有时候可能还有至强E3这样的。

　　网络平台开始也是至强平台开始进入了，通过配有相应的ASIC芯片加上定制的软件定义的层，来去实现软件定义网络，软件定义存储这方面。

　　所以，从总体战略来讲，这次发布的意义在于说它为软件定义的世界提供了一个新的平台，提供了一个新的能源的动力，自己也强调它的一个理念叫 SDI，软件定义的基础设施，Software Defined Infrastructure。从SDI的角度来讲我觉得E5V3的发布还是很有意义的，他们也特意为SDI在服务器以外的这些基础设施领域的应用提供了 更多的型号，这个我觉得我们应该从一个整体数据中心的进化角度来看E5V3的发布。

　　杨昀煦：所以您说的也是它是在软件定义架构方面做出了它自己的这么一个调整，就是往高处的调整，到底它是成就了这个软件定义以后更普遍还是说软件定义存储帮助这个至强也是走到了一个新的高度。

　　赵效民：我觉得可能应该是相辅相成的，因为我觉得软件定义它某种角度来说其实是一个生态环境的问题，其实我们 举个简单的例子，就是从智能手机，我们可以看到现在智能手机现在应用最丰富的应该就是苹果和安卓两个平台，包括其他的这些黑莓，还有微软的Windows phone其实步履还是很艰难的，为什么?因为用户的数量，苹果的用户数量我们都毋庸置疑了，安卓手机的数量更是如此。

　　只有说在这个更大的范围内我去提供相应的产品和服务我才有可能获得最大的收益和回报。软件定义其实也是一样，软件定义的开发者们通过他们的想法其实也是看 到了这种最大的装机量的平台上，我们是不是可以做一些演化，我可以在这种最大用户数应用的平台上我做一些进一步的资源池的调用和改良。

　　软件定义一个很重要的根本的目的就在于说将硬件资源和软件控制来去分离，控制平面和数据的执行平面来分离，数据的执行就是硬件本身自己的能力，数据执行我 们可以说服务器是负责数据的处理，存储是负责数据的存和取。网络是负责数据的流转，传播，这是硬件的根本的功能，我们怎么去控制它更好地完成，这个是软件 的一个功能，软件定义的意思就是说我用软件来去虚拟出这么一个硬件，它的一些逻辑功能我都可以提取出来，我在这种逻辑层面上来讲我把计算的资源统一起来 了，我把网络的资源统一起来了，我把存储的资源也统一起来了。

　　所以在业界里面都有一个术语叫池化，就水池了，以前你可能是每个资源是一桶水，都是分立的，一桶一桶水，我现在把你放在一个大池子里边，你需要多少水你是 一勺水也行还是一碗水还是一卡车水，反正我都是从这个资源池里给你去舀，按原来这种定义你的资源是跟你的硬件绑定的，我有一桶水但我可能只需要一勺的时 候，可能这剩一桶水都废了，我还同样一桶水我可能需要一桶半，你这一桶我满足不了，我还得需要半桶，那半桶也调不来，这个时候就是资源灵活性的掣肘的突出 体现。

　　软件定义的目的，它的目的之一其实打破这种资源的体现，怎么做?那就打破这种物理性的壁垒，把这个资源给提取出来，资源汇成了一个池化的这么一个资源池之 后，我按需来分配。所以说在总体层面来讲，软件定义其实就是说我用软件去模拟一个实际的物理的设备，但是真正到执行层面了还是需要硬件去执行。所以说从软 件定义的角度来讲我还是需要说能满足更多用户的考量和需求。

　　什么是最多用户所使用的时候，目前来看数据中心95%以上的设备基本上都是基于，尤其是服务器，都是基于X86服务器了，都是基于至强处理器的。在 它上面做软件定义那是顺理成章的，我通过软件定义把X86服务器可能给它改变了相应的功能，配合相关的一些专有的硬件，比如说一个标准的X86服务器我给 配一堆网卡，我用主处理器来配合相关的这种专用的专门负责网络协议这种处理的这种处理器，相配合，它是不是就成为一个网络设备了，相当于交换机也好，还是 路由器也好，反正是一个网络功能的设备了，其实它就是一个，你可以看出来这个网络设备是定义出来的，它并不是，从原本来看它其实就是一个X86服务器，只 是说为了网络应用多配了一些网口，然后做了一些网络设备的定制的优化。

　　但是上面的软件把它定义成了一个网络设备，你要是说从服务器本身来讲，从虚拟化层我们也可以做一些软件定义的措施，包括VMware的NSX，它是很典型 的一个这种软件定义网络，它从虚拟机的这个层次已经把你给模拟出来一个网络设备了，你在这里边你逻辑功能全有，它底层实现其实是靠服务器一些标准化的组件 来予以支撑的。在这个层面它需要这种更强有力的处理器，从这一点来说其实软件定义是找这些占有量装机量最大的硬件。

　　反过来，硬件相关的这些能力它也必须要针对软件定义来去优化，才能获得更大的认可，包括比如说这个服务器的虚拟化，当初没有硬件支持的时候，这个虚拟化其 实是不可用的，因为它一装了虚拟化这个性能下降了30-40%，对于很多用户是不能接受的，我用了你的东西我性能反而下降了，我只能说在我原有的收益我没 有降低的情况下我获得了新的能力，这是我愿意用的。你把我原来的能力给降低了一半，我获得了新的能力，这让很多人都觉得心里别扭。

　　当硬件的虚拟化技术在CPU里边普及了，开始支持了之后，这个虚拟化后的性能损失不超过5%，这对于很多用户来说他是可以接受的，我为了5%的损失我获得更灵活的资源整合调度能力，那我是愿意的。

　　这个时候你会发现硬件和软件定义之间的一个关系就在于说软件想往这些更大范围的更大使用量的这种硬件平台说去靠拢，受它来吸引，反过来说你硬件也要为软件定义相关一些具体的功能来实现一些硬件上的优化，这个是相辅相成的。

　　你优化得越好这些软件定义的方案也就愿意找你，因为我在你的平台上效果是最好的，用户也是更满意的，大家何乐而不为呢，所以说这次的E5V3是在原前一步 的基础上进一步突出了它的SDI的属性，所以说在我的文章里面我更愿意把E5V3定义为一颗SDI的处理器，而不是说什么服务器的CPU，这SDI包含了 很多层面的东西，你是网络也好，存储也好，还是说其他一些我们可以想象出来安全设备，你只要用X86的，这个至强E5V3就是你所需要的一个处理器，主处 理器，可能需要不同的场景底下可能需要一些协处理器的支持，这个我们就再另说了。

　　但是从主体的方向来讲，E5V3的发布对于整个数据中心的一个软件定义的演化我觉得它是一个更有力的支持，首先它是X86至强的一个家族最新的成 员，X86至强家族已经受到了软件定义广泛的认可和支持。反过来说对于软件定义本身更进一步的优化也会巩固至强家族在数据中心的地位。

　　杨昀煦：所以说现在至强服务器尤其它的市场占有量，它现在向软件定义方面靠拢，它现在已经在市场上算是统治地位了吧?

　　赵效民：对，目前来讲因为业界有一种盛传的说法，虽然不太严谨，但是也能体现当初目前当前这个市场的一个普遍 的不能说认识，但是普遍的一个现象，所谓的软件定义这个说法其实就是在X86上做以前那些专有的设备的事情，所谓的专有设备比如说网络、存储，所以说这个 说法虽然不严谨，但的确也是现在软件定义的一个现实，因为现在很多软件定义基本上所有软件定义的方案，现实中我们看到这种商用的方案都是在至强平台上 X86平台上来去做的。

　　杨昀煦：我们也希望它能在软件定义方面做得越来越好，让我们这个资源的调度整合更加方便。

　　杨昀煦：我们进入下一个话题，是效民总亲身经历的，当然我也没去成，所以非常想听效民总说说咱们中兴云数据中心峰会，它这个是云数据中心和平台数据中心还不太一样，这是首届吧，之前没有这样的?

　　赵效民：有没有首届我不知道，反正这个是我参加的第一届。

　　杨昀煦：您觉得这届大会上的亮点，或者它传达了一个什么样的理念?

　　赵效民：其实你要从大会的规模和所谈到的内容来讲，说实话以我个人的这种阅历来讲我并不认为它是一个特别数据 中心高端的，特别让我眼前一亮的会议，我为什么今天会选择这个新闻来去报道一下，因为我觉得它代表了一个中国IT发展的态度，因为我们知道一个国家你在这 种技术发展领域里面，其实你一些核心的骨干的厂商的态度是非常重要的。我觉得中兴、华为、浪潮、联想、曙光，都是我们耳熟能详的中国IT大厂，他们的一些 态度，他们的实力展现其实也是中国IT实力的展现。

　　这次云数据中心峰会，其实我本人也是作为杨昀煦来参加的也非常荣幸，主持这次会我能看到中兴通讯一种用心的态 度，它其实也是自身实力的一种展现。我们也知道像中兴、华为这类本身一开始就是已经立足于，立志于在国际市场竞争的这种厂商，它本来一开始做运营商项目 的，它做这种电信网络的，很早以前就是在欧洲与当地那些土豪们竞争了，像爱立信、诺基亚、西门子，阿尔卡特，竞争得已经非常厉害了。

　　所以它其实在某种程度已经算是一个国际化的公司了，但是这类公司随着它的业绩增长和它的这种未来业务的不断扩大，它已经越来越介入于传统的企业级IT市场 了，我们知道原来它主攻的是运营商市场，现在开始进入企业级IT市场，IT市场其实就相当于我们说运营商，好比说中国的运营商就那三大家，每个省你也算 上，分公司，那有多少家，100多家，3×30，90多家，你在里面在一些大型的城市，包括北、上、广，或者直辖市的这几个，其实你在运营商的级别你一年 也就看不到200个客户的规模，撑死了，不到200个，可能也就100多个，但是企业级市场是不一样的。可能就真的是成千上万，所以玩法也是不一样的。

　　运营商你就安全可以闷声发大财，你根本不需要在媒体上有什么宣传，你做好这种底下的，把每次历行的招标什么的给做好了，其实你这这一两年的收益都 是可以看清楚的。但是企业级IT市场是不一样的，玩法也完全不一样，你要去充分展现出你的实力，你不展现谁知道啊，你的电信运营商这些100多家客户靠人 跑你是能handle过来的，我一个公司我养上百个销售是没问题的，当然你上百个销售把全国上万家企业，我觉得中国也不只是上万家企业，你都能覆盖了吗， 覆盖不了。

　　所以这个时候你需要有一种非常前瞻的，非常系统的，非常全面的一个市场宣传的策略，把你的IT解决方案带出来。

　　之前我们也知道中兴也开始在智慧城市以它为一个点切入发力它IT的相关解决方案，因为这种电信运营商的服务商有一个好处是说它的电信能力非常强，通讯能力 非常强，你说你玩一个基站，手机通讯这种无线网络，你说有几个中国厂商能拼得过华为中兴，所以说中兴它现在已经开始走方案级的角度来入手去展现它的实力。

　　这次云数据中心峰会其实也是另一个层次的一个展现了，让我们也看到了中兴在这种IT的基础设施级别的构建能力和实力，也看到了它自己的中兴的服务器产品线 相关虚拟化的解决方案，包括它这种数据中心的基建级别的，所谓基建级别就是能帮助你做前期的咨询，选址，评估，到土建，甚至模块化的数据中心都是可以出来 的。它包括还有自己整机柜服务器的架构展示，所以说我觉得你说这些东西国外没有吗，肯定也有，我们也看到了，其实模块化数据中心很早几年我们就知道说国内 国外的像IBM，惠普，都在谈这些事情。

　　所以说回到我们今天这个话题，我为什么选这个新闻进来呢，它代表了中国IT厂商新的一个态度，你可能以前有这种实力，但你没有展现出来，这次展现出来以后 借助于互联网的力量，借助于现在这种新媒体的力量，我觉得它的传播速度会更快，它代表了一个中国IT厂商新的心态，或者它的一个新的套路，我们也希望说在 未来能看到类似于中兴这样的一个级别的厂商能有更多更好的自我实力的展现。

　　下一周其实华为云计算大会也会在上海召开，HCC，这个规模也是非常大的，当然这类的规模会议其实在国外的这些大厂商其实是已经稀松平常了，咱们已经做了 这样，思杰这么一个体量的公司比华为差远了，每年办的Synergy大会也是风声水起的，VMware就不用说了，戴尔World，IBM也有自己的这种 大会，惠普还有自己的Discovery大会，在中国也有WorldTour大会，在11月份。

　　所以说这类的会议我们看到它从这种国际的外在的形象上具体的商业思维模式还有市场宣传套路来讲，已经可以跟国外顶级厂商来去媲美了，所以说从这点来说，这 个意义我觉得更重大一些。但是我并不是说中兴的解决方案比国外的差，我并不认为，其实它已经体现出很多的新意，只是说从我的层面来讲我没有觉得特别新鲜 的，但是它真的是让我们看到了中国的厂商实力，可能以前有些厂商说我们其实这些东西都有，那你怎么不说?我觉得现在你在新的这种竞争时代，尤其是互联网的 时代大家的信息获取很容易，这个其实是有两面性的。

　　第一，如果你没有抓住这个机会的话，你的竞争对手可能会更容易影响客户，甚至包括你的潜在客户。第二，反过来说如果你抓住这个机会你有更好的更强有力的市 场宣传，改变那种传统的思维，不是说你运营商的那种套路了，一个公司你看全国也就不到200家的客户你就能看过来，在这种企业级用户市场，你抱着好东西你 不宣传到最后你卖不出去你怪谁，这个其实真的是一个理念上的转变。

　　从大会本身来讲，中兴这次也从它整体的这种云的战略，云数据中心的这种理念，这种未来的发展策略，它具体的解决方案都有了详细的阐述，当然它也请到了它的 一些关键的合作伙伴，也算是用户，客户，中国联通，还有，也是采用跟他们合作做了一个微信和QQ游戏新的数据中心，在深圳的平山。所以我有一个深 刻的感触，我真的觉得某种意义上来说深圳应该是中国企业级IT的一个创新的基地，为什么这么说?在深圳它有不同行业大的企业，典型的企业它是具备了，你说 互联网已经很牛了，业务线非常繁杂，这种数据中心的需求应该也是世界级的了。

　　你说在金融，招商银行的老本家就是深圳的，这个也是在中国创新领域里面走在前面了，大家都知道，很多人都有感触，招商银行的这种网上银行是最好的，设计得 是最人性化的或者怎么样。中兴、华为都在深圳，这么两个实力的一个厂商，咱们有些可能IT厂商都觉得不懈，华为他们IT这些东西包括中兴不是很出名，但我 说从通讯领域里边有几个敢跟人叫板的，全球都没有几个说我绝对能干得过你的，未来的世界其实是ICT的世界，我们老说是IT，IT不就是信息技 术，information technology，ICT加上这个C就是通讯，communications，所以ICT又是未来一个核心的关键。

　　比如说我们现在用的手机，你说我的手机平时能联网，它首先的一个通段是3G或4G的网络，它不是说，你只有在WiFi的环境说你说我都是走了这个传统的这 种网络协议，或者非这种通讯的，非电信的运营网络。我觉得大部分大多数场景，大多数我们在地铁上下班，或者外边的时候其实走的都是移动网络，这个时候谁更 有实力来去给你这方面端对端的优化，我觉得是ICT厂商。

　　真正从发力点来讲ICT厂商，相对于一个传统的IT厂商它其实是用户更近的，尤其是在移动时代来讲，它离用户是最近的一个服务商，如果它做得好，你传统 IT厂商真的很难去竞争，你除非是在IT的后台来去做，但是IT后台现在也展现出来了，而且我这次看他们的演示设计还都是挺上档次的，一改了以前中国厂商 挺土的，办个会都特别小气，展示效果也不好，所以看他们的动画设计，他们有专门的模块化数据中心的设计或者怎么样，还有这种现场演示，能看出中国IT厂商 的进步，这是我非常欣慰的一点。

　　所以说以小见大，我们通过这么一件事情，这个事情本身其实我不认为说它是一个特别值得大说特说的，当然我们这么说是相对的，相对于从这一点能看到的中国这 种IT厂商整体的崛起，这个是我觉得非常欣慰的一点，平时我们开会经常是国外厂商的一些会，我们也希望以后国内的厂商能有更多展现自己的机会。

　　同样，下个月，下周我们的《云云众声》还会把重点放在华为的身上，从竞争角度来说华为和中兴是很强的竞争对手，但是从一个媒体人角度来讲这些都是中国引以为傲的IT服务商，所以说我们愿意以我们最大的能力去帮助中国的IT厂商更好去展现你们自己的风范。

　　杨昀煦：中兴在国内的市场也是有一定占有量，它现在又这么好把自己推销了一下，您觉得它什么时候能去拓展海外市场，什么时候能走出国门去?

　　赵效民：所以说这个可能是很多人的一个传统的认识，其实很多人觉得它是一个中国厂商，它什么时候走出国门，其 实中兴早就走出国门了，中兴其实在国外做的这些数据中心的项目也是非常多的，尤其是跟国外的一些运营商合作做的一些，给国外运营商做这种数据中心的交付， 这个其实在它国外的可能运营的这种熟练程度和它的这种成熟度，可能不次于在中国的运作。

　　所以我说得直白点就说像华为中兴这类的企业其实是在整体的，它已经有国际化的经验了，所以说只是说以前可能更积极地去拓展国外的市场，国内就是闷 声发财，也不愿意宣传，现在借助于这种互联网，云计算和企业级IT变革的这种机遇，他们杀入到个市场里来开始慢慢展现自己的实力和能力了。所以说我觉得在 这个方面来讲随着大家对于传统的中兴华为厂商的角色定位的改变，认知的改变，我们会看到中国整体的企业级IT市场的玩家会越来越丰富，而且本土厂商的实力 一个比一个强。

　　你看联想也把IBM的X86业务部给收了，浪潮也开始做自己高端的主机研发，曙光在高性能计算里也算一枝独秀，我觉得这种百花齐放，你争我赶的局面对于中国本土企业的IT交付能力，服务能力提升，我觉得是有好处的。

　　杨昀煦：所以中兴也是除了通讯方面也在咱们企业级市场里面多方面发展。

　　杨昀煦：越站越稳。

　　赵效民：没错，因为它原来的数据中心其实就是给运营商IDC业务来去做的，现在其实尤其像很多大型的这种用 户，尤其是一些互联网用户他们对这种数据中心的需求也是非常强烈的，IDC，中兴做这个云计算数据中心的峰会来讲，也正好是针对这个行业或者说这种需求展 现自己能力，它作为一个IDC的交付手段也是多种多样，我可以帮你建而且我也可以做一些租赁，你可以不用说完全那些设备都是你的，你可以租我的东西，你可 以通过运营商的合作，反正这种最终可能以一种数据中心实体设备的交易模式，可能转化成一种数据中心服务的一种模式来去给用户提供最终的这种支持，所以说从 这点来说，对于中国内地大型企业互联网企业的整体的数据中心未来的变革的市场，我觉得都是有积极意义的。

　　但是我必须要强调这个会议给我最大的一个感触就是说中国的这种ICT厂商实力已经开始在中国IT市场上慢慢体现了。

　　杨昀煦：所以我们也希望中国的ICT厂商发展越来越壮大。头一个话题说的是的至强也说了它是在软件定义 方面非常一枝独秀了，现在也是第三个话题关于这个，IDC它首次评估了软件定义存储市场，是说它刚开始虽然份额小，但是它发展得非常迅速，这反正肯定是代 表了软件定义存储的趋势会越来越好，在您看来它会有一个什么样的趋势?

　　赵效民：这个从它的报告来讲其实它这个软件定义可能跟我们很多人目前尤其是专注于新兴技术发展这些圈子里的人 他们的软件定义差别有点大，按我们来说其实很多人讲软件定义可能就是这种Server SAN，这样的一个级别，拿服务器做整合这种存储，VMware的EVO Nutanix这类的市场。

　　但是，IDC它是从存储管理软件这个市场来切入的，按它的报告来讲好像现在目前第一名还是EMC，第二名是IBM，第三名好像是赛门铁克，我记得印象没错是这样的。

　　从这一点来说这些以这种存储管理软件的市场角度来看，符合软件定义的产品其实真的不算是特别多了，因为有些人，可能有些用户会觉得像EVO这些才算是软件 定义存储，当然这么看没错，但是很多人觉得这类的存储产品是软件定义存储，其实真正给他们做这种实现其实是在软件层面的。

　　所以说你要把这个软件层面把它提取出来，它其实算是管理软件，就是存储管理软件的一个范畴，这个层面你从它IDC定义来看，它现在说只占3.5%，我觉得 这是一个真实的体现，你就算Nutanix，还有Simplivity这样的一些厂商他们的解决方案，其实在现实社会中占有率系非常少的。就算包括EMC 自己的ViPR，之前咱们也谈到过ViPR是EMC软件定义存储的一个领头羊，是它前沿的一个产品线，当然它是一个纯的软件的解决方案，其实都算是软件定 义存储的一个范畴。

　　但是从整的市场占有率来讲只有3.5%，这也算软件定义存储的一个真实的市场反馈，我觉得在我的意料之中，我也没有认为软件定义存储已经是一个主流了。但 是它肯定是一个未来的发展方向，刚才我们也谈到了软件定义的好处，这个好处是无人能拒绝的，可能有的时候软件定义它可能带来更多的是灵活性，可能会影响你 的性能，刚才我们举的服务器虚拟化的例子一样，你要没有相应的硬件强有力的支撑，你的性能要下降30-40%，你必须要有相应的功能性的，硬件功能上的一 些优化和改善。

　　反过来也一样，如果要是硬件平台也OK了，谁会拒绝灵活性，我觉得这是一个很浅显的道理。所以说在目前的情况下，软件定义存储可能还不能满足所有的或者说 主流的这种大规模的应用业务需求，所以它现在还属于初级的发展阶段，可能现在灵活性有了，但是效率可靠性稳定性没法保证，但我觉得这是随着时间的推移迟早 的事情。

　　所以说IDC的报告我觉得都是在我们的，至少在我看来是在认可之中，首先它告诉我们现在的一个软件定义存储市场的真实的规模，可能是3.5%，如果从实际 按存储容量的发货量来去看，可能还远远不到3.5%，可能从SKU这种发货量的角度去看，或者从营业额角度来看是3.5%的占有率。但是从未来前景趋势来 讲，软件定义存储绝对是，我不能说它是唯一的发展趋势，绝对是一个主流的发展趋势，未来也绝对是，不管是传统的存储巨头也好，还是新兴的这种聚合设备的厂 商也好，这类的软件定义存储绝对是一个市场的主流发展方向，是兵家必争之地。

　　所以说对于用户来讲，对于相应的解决方案提供商来讲都要去各从自己的层面去及早看到软件定义存储的优势。对于用户来讲是你获得了一个更灵活，更为动态和这 种，高效不高兴咱不敢保证，这样一个极易扩展的这么一个存储的平台。对于服务解决方案商来讲，你如果能在这个层面去更能满足用户的需求来讲，这其实毫无疑 问它是代表了未来的一个商机，能让你更多的钱，我觉得没有哪个商人是不开心的不关注的。

　　这个新闻很简单，就是让我们看到了目前软件定义存储市场的一个现实情况，但是也让我们看到了它的一个飞速增长的态势。也许我们明年再看同样的一个报告，这个数值可能会有很大的一个变化。

　　杨昀煦：所以IDC这个报告一出也是给业界厂商一个领导的导向。

　　赵效民：对，这个市场很大，很多时候我们现在可以看出来这个市场的更迭是这样的，如果说你面对的是一个传统市 场，你是一个创新市场，我们先做的是把你的这个传统市场慢慢给替换掉，这个是一个很大的市场空间，等你替换完了以后你的技术可能又出新的一代产品了，又一 轮替换，这就是周而复始的技术路径的不断延续。所以说3.5%的市场占有率也意味着96.5%的可发挥的空间，所以说对于软件定义存储厂商来讲是一个很广 阔的可拼杀的场地了，有这么多领土等待着未来诸侯们来去争夺，说得还是很有战争的场面的。

　　杨昀煦：我们看看业界还有一件大事就是我们今天第四个话题，惠普，惠普挺忙碌的，除了要发展 OpenStack这个产品服务，还收购了一个云公司，OpenStack这件事我们之前也谈到很多次，现在它用OpenStack，它基于这个发布了产 品还有服务，这个对于它来说是一件比较牟利比较好的事吗?对它有利吗?因为它惠普也是在硬件方面特别有地位，如果它要是涉足这个对它有利吗?

　　赵效民：其实我觉得软硬件应该是一体的，就是你纯粹把它分开来看其实并不符合当前这么一个态势。 OpenStack其实是现在最着名的一个开源的云管理平台，在OpenStack这个基金会里面惠普也是白金会员，最高级的白金会员。不久前也是开发了 自己整体的Helion的解决方案，这个Helion里面包括了六大部分，六大部分里面其实包括了它的基础自动化管理和基础设施，云管理平台，自动化软 件，还有它融合的基础设施。

　　另外，第二个包括了它这种集成的解决方案，就是CloudSystem，还包括了它的一些定向的服务，这个是包括了前期的咨询，这种讨论 workshop，后期的这种技术服务的支持，还包括了整体云平台的管理，还有这种云的开发，这就是Helion的OpenStack发行版，这是一个非 常重要的。

　　另外，还有它的Helion的公有云的服务，还有Helion的托管云的服务，六大项，自动化管理就是加基础设施这是第一部分，第二部分是集成的解决方案 CloudSystem，这种服务，这种定向的服务支持，这是第三部分。第四部分是Helion，OpenStack云的平台，还有Helion的开发者 平台，你可以认为是一个IaaS层面和一个PaaS层面的解决方案。第五部分就是Helion的公有云的服务，第六部分就是Helion的托管云服务，作 为一种超大型或者这种企业你做一个托管云这样的服务。

　　所以说从一个整体的方案来讲你看Helion六大部分已经可以说是面面俱到了，这次其实我们就刚才说的OpenStack就基于它其中的Helion OpenStack这样一个部分，所以说它基于OpenStack这种完整的堆件来去构建自己的发行版，Helion OpenStack是惠普的OpenStack发行版，这个是它自己的版本，OpenStack一个模式就在于说你可以自己，你可以把这个代码拿回去自己 用，然后你自己在它的基础上你自己加一些自己的功能，自己的这种feature，你形成自己的版本对外发行，这是OpenStack基金会允许的，只是说 你要把代码给反馈回来。

　　所以说这样一个好处惠普可以针对自己的硬件平台做一些定制的优化，可能你在自动部署上，在这种管理上，就等于说它这个发行版可以在惠普的这些 CloudSystem平台上能有一个更好的表现，这是它自己做发行版一个目的。所以说它围绕着OpenStack其实也提供了自己的技术支持，它用 OpenStack这个版本有两个，一个社区版，还有一个就是商业版，我这两个版本的不同就是Helion OpenStack开发者版本，它自己有一个社区，等于说它其实有自己构建的一个开源的小社区，我把这个源代码全部公开然后放在这个社区里面，你有实力你 拿走自己用去，你自己爱怎么折腾就怎么折腾，然后你自己部署。唯一的不同，你真腾出毛病了，你折腾出问题了，惠普一概不负责任。

　　商业版不一样了，商业版就相当于是一种契约的服务的一个合同，我用了你这个版本如果出问题，或者我有新的需求，你惠普是要给我提供技术支持的，所以说这两 个版本来讲，它其实是覆盖了不同的用户，第一批开发者社区版本其实是给那些你自身已经很有实力了，像互联网公司，你自己有很多很强的技术人员，开发者，你 拿过来就改代码，怎么着去写，写出毛病来你自己还能调回来，除bug都是你来做，没问题，这是免费的，不花钱的，爱怎么玩你怎么玩。

　　如果说你是传统的企业你并不以IT擅长，或者说你的核心竞争力并不是在IT上，但是你现在因为你的业务需求可能需要某种云解决方案，OpenStack这个商业版就是给你这么一个一整套解决方案，是能获得惠普支持的。

　　所以说与之配套的还有Helion的开发者版，开发平台，它的开发平台也有一个社区版，也有一个商业版，顾名思义，这个开发平台是部署在 OpenStack上面的，我在这个OpenStack为基础上面做这种开发者的应用，给你提供PaaS级别的编程的环境，社区版也一样，你在这上面调试 不成功你别找，惠普也不管你，但是你买这种正式的商业版本的话，惠普给你提供商业的支持。

　　除此之外还有一系列其他的OpenStack的这种服务，所以说从这点来说，惠普已经做好了这种全方位OpenStack的服务支持的能力，也可以看出它OpenStack这种业务方向的决心。

　　杨昀煦：咱们刚刚一直说软件定义这个事您也说了惠普提供OpenStack的Helion也是为了它自己硬件 的服务，但是有一新闻说惠普其实它不太认可软件定义，它觉得软件定义可能有一天就不行了，觉得软件定义是昙花一现的东西，它还是要坚持自己硬件的东西，所 以您觉得它这是固执己见吗，还是直觉比较敏锐?

　　赵效民：我觉得其实是我更愿意这么理解惠普发言的说法，因为我没有看到，我不是现场采访的记者，但是我觉得惠 普发言人，CTO发言的用意其实在于说，软件定义离不开硬件的基础，就是说你现在老谈软件定义，其实是在他看来有点本末倒置了，就像我刚才说的似的，你没 有很好的一个硬件的基础和平台，软件定义的这个规模效应其实是体现不出来的，我们可以举个例子，原来在这种网络设备上可以说这种平台是各家纷争，思科有一 套，Juniper有一套，五花八门。

　　所以说你面对这么多不同的硬件平台，你的软件定义你放在哪，你是为所有的平台都做一个软件定义的解决方案，还是说你做一个通用的解决方案来适配所有的平 台，这两个选择难度都挺大的，因为你为思科做了一套软件定义的东西，你不能用在Juniper那个上面，可能你也不能用在Brocade方面，平台上，每 家的芯片可能都不一样，指令级也不一样，这种智能架构也不一样。

　　所以说你这没有足够大的范围通用性的时候，你这个就没法发挥威力，存储产品线也是一样，原来有时候是Power PC的，有至强的，甚至还有一些可能是ARM或者说MIPS的处理器，大家的硬件环境都不一样，所以说你到最后到X86这个服务器的时候，大家一看这是一 个特别通用的平台，这是一个这么大的平台，那我可以在上面去做一个应用了，等于说我把这个平台占住，然后我在更大的一个生态环境里边我才能发挥出软件定义 的最大功效，这个时候你再看如果没有硬件的强有力的支持，虚拟化是不可用的，你必须要通过一个很强有力的硬件支持才能进一步推进软件定义发展。

　　反过来说现在很多虚拟化厂商它的产品线是要密切与这种硬件尤其是芯片厂商的开发相结合的，好比说说我下一步至强处理器我要加哪些新的功能，这些相关 的VMware，微软这些肯定都要瞅着看，我想看看你这个到底是怎么做的，我是不是你的这些硬件的功能我就能直接在我的软件里面就用了。有的时候这模式是 这样的，当然我们也不排除说像VMware或者微软他们可能会给提意见，提建议，说你下一代的处理器我们需要哪些功能，所以说你会发现它这个真的是 有很强烈的相辅相成的一个基础在里面。

　　那么，惠普CTO为什么这么说，其实也是为他未来的一系列新的硬件创新来去做引子，我们也知道它Machine这些下一代计算机，还有一组存储器，这个都 是惠普准备推进的下一代，真的是在他们看来或者在我看来有一部分可以算是这种革命性的硬件的架构创新。这个硬件架构创新肯定是走在软件之前了，你在硬件架 构之后我们再看上面的软件解决方案，可能慢慢你在上面才能营造出新的这种生态环境出来。

　　所以说软件定义他们说不重要我并不认为这是惠普的一个看法，恰恰相反惠普是点出了一个关键，就是说硬件还是本质的，你没有更好的硬件你的软件创新也是出不来的。

　　打个比方说你现在手机上的应用十年前你能有吗，好比说你把现在的应用放在十年前你找地方搁吗，所以说你没有这种苹果的创新你后边哪有触屏的应用，没有这种 硬件的相关配套的支持，没有强有力的ARM处理器的支持，你现在手机上跑游戏，开玩笑呢。所以说我觉得惠普CTO这个说法，我更愿意从这个角度来去理解。

　　反过来说惠普未来的下一代计算机Machine还有它的一组存储器，我不敢说它是不是就真的是未来硬件的发展主流，但是我觉得这是一件好事。

　　当我们看到了越来越多大家觉得软件定义怎么样，软件定义你的未来，软件怎么样，可能大家已经被洗脑了，就是软件太牛逼了，软件是最棒的，没错，真正交付给 用户那种服务的能力是通过软件来体现的，比如说你在手机上你想去买个东西，这种服务是谁来给你交付的呢?可能是京东的APP，可能是淘宝的APP，你要去 想做一个航班的查询，可能是这种航旅纵横，可能是国航的APP给你提供的服务。你要想去买个电影票可能是微信，也可能是时光网的APP给你提供的服务，这 都是软件，没错都是软件，但是我昨天在中兴云计算中心峰会上我当杨昀煦，我开场时候就问大家，我说在场各位你们谁是微信的用户，基本都举手了。那很明确，很明显，大家都知道微信好，你知道为微信准备了多大的数据中心吗，今天中午他们还要去参观跟中兴合建的专门是给微信和QQ游戏来准备的数据中心，已经扩容了，在不断扩容。

　　所以你没有后台一个强有力的支持，你微信的体验要不就卡，发不出信息，要不对方收不到，你说你窝火不窝火，所以很多时候你觉得APP太好用了，APP很 好，那它肯定是后台做得更好。这个是相辅相成的，绝对的一个前后的关系，所以说惠普这个发言其实让我们去迎合了一个本质，软件很好，你需要一个软件去交付 你的应用，你的服务，这个都是靠软件来去实现的，很大程度来说你的业务革新也是靠软件来的，这个我们都承认。

　　但是它必须要找到一个很好的基础，很好的一个骨架，就好比说霍金很聪明，我没有说鄙视这种残疾人或者什么意思，但是说你愿意是当霍金那样的人还是愿意也当 一个有霍金那样的智商，有刘翔的那种体魄的这么一个人，我觉得那样可能更好的。你有一个很强魄的肢体你才能有更好的一个表现。否则的话你只有说很好的这种 设计，智商，这个软件设计得特别好，我要的功能全有，但是就是一点完以后10分钟才给我结果，你说你让人着急不着急，有可能一点进去还没结果，好比说霍金 他已经不能控制脖子以下的身体了，所以说有什么意义呢，它只能是理论上的这样一个东西。

　　所以说从这一点来说，你说它不专注软件吗，也不是，软件定义，你说云本身就是一个软件定义的平台，OpenStack也是，它最近刚收购的桉树，大家也都 知道，在开源界里面都知道桉树这个软件其实是开源的公有云平台里边也算前三大了，第一大的就是OpenStack，第二大的就是CloudStack，第 三大的就是Eucalyptus平台，就是桉树这个平台，这个平台它其实是一个开源的公有云平台的解决方案，我如果预料没错的话它会大大加强惠普公有云的 解决方案能力，因为我们知道其实OpenStack目前来看成熟度并不是特别高，如果面对特别高的可扩展性的需求，OpenStack反正从基础性的版本 来看它可支持的能力并不是那么高。

　　虽然说惠普有自己的Helion发行版，但是我不知道它Helion发行版到底有多大能力，但是桉树这个云平台已经是被证明了，就是它的横向的这种扩展能力和它这种整体云的规模的能力，还是很强的。

　　所以说惠普这次以比较少的一个代价，据说可能不到一亿美金就收购了这个公司，我觉得还是很划算的，它应该能在很大程度上去加强惠普Helion公有云服务的能力。

　　当然我觉得Helion肯定有OpenStack的身影，他们也可能更好地帮助OpenStack的用户在他们的公有云之间实现很好的混合的工作模式。惠 普我不知道它什么时候真正能在它的解决方案里边去体现出桉树的影子，但是我们相信在不久的将来，惠普的helion这种整体解决方案里边就会有桉树基因的 存在。

　　杨昀煦：像您刚才说桉树就是Eucalyptus这个公司它在云扩展方面能力还挺强的，虽然是Eucalyptus公司，它为什么能接受惠普的并购呢?

　　赵效民：因为从它发展到现在来讲，它虽然也是一个开源的平台，但它其实并不是特别受市场关注，因为它是按照 AWS这种模式来设计的，而且它整体的这种解决方案，知名度其实并不是特别高，跟OpenStack和CloudStack相比，可能也许现在给人感觉是 一个被落得越来越远的感觉了，从它自身的生存角度来说卖给一个大的商业企业，我觉得未必不惜件好事。

　　开源平台现在算是OpenStack一家独大了，CloudStack可能声音也不是那么强了，与其这样的话，惠普其实能收购一个现成的这种桉树平台的解决方案，我觉得是一个挺好的选择，我觉得对两家来说应该都是不错的一个选择。

　　杨昀煦：虽然是依附着这么一个立足自身硬件，又去发展的公司还是挺占便宜的。

　　杨昀煦：所以我们也希望惠普能够还是坚定自己的立场好好发展硬件，让我们以后软件定义能够走得更好。我们这期就到这了，这期比较长，下一期我们还是辛苦我们效民总能从别的地方给我们带来华为新鲜的信息。

　　赵效民：当然华为我就不是亲自去了，但是我们可能到时候也会从前方的两位主编的口中获得更多的前方的信息，也请各位能关注下周我们ZDNet关于华为云计算大会的报告。

　　杨昀煦：本期中兴云数据中心峰会您要是还没有看得更透，我们也有相应的专题来等着您看。谢谢大家关注我们ZDNet的《云云众声》我们下期再见。