"簡而言之，RHEL的真正價(jià)值在于其免費(fèi)開放性。"這句話雖看似平常，卻蘊(yùn)含著深意。

Red Hat Enterprise Linux（RHEL）以其卓越的穩(wěn)定性和一致性，為應(yīng)用程序提供了全方位、全生命周期的托管支持，從而極大地簡化了開發(fā)體驗(yàn)。對于用戶而言，如何充分利用RHEL并確保開發(fā)成果在遷移至生產(chǎn)環(huán)境時(shí)能夠順利無誤，成為了一個(gè)值得思考的問題。最近，紅帽公司做出了一個(gè)具有里程碑意義的決定，將RHEL免費(fèi)開放給個(gè)人生產(chǎn)用戶和符合特定條件的開發(fā)者團(tuán)隊(duì)。這一舉措不僅為整個(gè)RHEL社區(qū)帶來了革命性的變化，更讓那些過去只能使用下游或“重現(xiàn)版”RHEL的個(gè)人和開發(fā)者能夠真正體驗(yàn)到原汁原味的系統(tǒng)。接下來，我們將深入探討RHEL為開發(fā)者帶來的額外益處。

“簡而言之，免費(fèi)RHEL才是真正的RHEL。”這句話雖然看似平淡無奇，但卻蘊(yùn)含著深刻的含義。紅帽公司長期以來一直公開發(fā)布操作系統(tǒng)的源代碼，其覆蓋范圍遠(yuǎn)超GNU公共許可等各類開源許可的要求。因此，其他組織和個(gè)人得以利用這些寶貴的源代碼來構(gòu)建RHEL的替代方案，如CentOS Linux和Scientific Linux等。然而，隨著RHEL對個(gè)人及開發(fā)團(tuán)隊(duì)的免費(fèi)開放，開發(fā)者們現(xiàn)在可以直接使用RHEL來構(gòu)建應(yīng)用程序，并在個(gè)人生產(chǎn)環(huán)境中免費(fèi)部署。

在過去25年的客戶交互中，紅帽積累了豐富的操作系統(tǒng)運(yùn)營知識。這些知識經(jīng)過提煉后，轉(zhuǎn)化為基于AI/ML的云服務(wù)——Red Hat Insights。該服務(wù)能顯著減輕RHEL的管理負(fù)擔(dān)。在RHEL全面免費(fèi)之后，合格的開發(fā)團(tuán)隊(duì)和個(gè)人將能夠享受到Insights帶來的便捷服務(wù)，并獲得相應(yīng)的認(rèn)證與技能資質(zhì)。

那么，對于那些源代碼相同且經(jīng)過RHEL認(rèn)證的衍生版本，它們是否也能獲得相應(yīng)的認(rèn)證呢？這無疑是一個(gè)值得探討的問題。
紅帽公司投入了大量資源和時(shí)間，以滿足各行業(yè)以及國際和國內(nèi)法規(guī)的認(rèn)證與許可要求。這些要求往往與特定的RHEL二進(jìn)制版本或測試/驗(yàn)證條件緊密相關(guān)。然而，無論是二進(jìn)制文件還是特定的測試條件/結(jié)果，都難以輕松重現(xiàn)。因此，相關(guān)認(rèn)證往往無法直接適用于采用相同源代碼的其他衍生版本。此外，除了源代碼的差異外，各同源操作系統(tǒng)之間還存在配置、庫和模塊的差異，強(qiáng)行給予認(rèn)證將失去實(shí)際意義。

但問題在于，各版本間的源代碼是否仍然相同？實(shí)際上，盡管源代碼大體相同，但二進(jìn)制文件會因構(gòu)建過程、編譯器版本及配置選項(xiàng)的不同而存在差異。這些差異加上對RHEL發(fā)行版的優(yōu)化，都會對二進(jìn)制文件產(chǎn)生重大影響。紅帽公司通過強(qiáng)大的流程和精力投入，維持了一套包含編譯器、工具和清潔底層架構(gòu)的完整供應(yīng)鏈，旨在為用戶群體建立信心，證明紅帽核心操作系統(tǒng)的穩(wěn)定性值得信賴。

那么，通過認(rèn)真重構(gòu)能否解決問題呢？雖然重構(gòu)至關(guān)重要，但我們必須意識到，除非能夠準(zhǔn)確選取完全相同的編譯器版本、優(yōu)化和軟件包組合，否則二進(jìn)制文件將不可避免地存在差異。例如，盡管CentOS Linux包與RHEL包相似，但二者的編譯庫與可執(zhí)行文件仍存在差異。這種相似性并不等同于一致性，在認(rèn)證方面具有重要意義。這也是RHEL發(fā)布認(rèn)證硬件、軟件和應(yīng)用程序的根本原因。

新的開發(fā)者計(jì)劃允許直接獲取RHEL二進(jìn)制文件，這意味著在投入生產(chǎn)或?qū)で笾С謺r(shí)，開發(fā)者能夠直接更新訂閱，無需重新安裝任何操作系統(tǒng)、應(yīng)用程序或其他組件。一切都已準(zhǔn)備就緒，可直接使用。
最近，GSA的FedRAMP項(xiàng)目對CentOS Linux的加密模塊問題進(jìn)行了明確闡述。CentOS Linux，作為RHEL的下游衍生版本，在重構(gòu)與重新編譯RHEL加密模塊方面付出了努力。然而，值得注意的是，CentOS上運(yùn)行的Red Hat加密模塊并未通過FIPS-140驗(yàn)證。因此，F(xiàn)edRAMP無法為CentOS（包括CentOS 7）上的這些模塊提供FIPS-140驗(yàn)證保證。

盡管源代碼可能完全一致，但二進(jìn)制文件之間的差異卻可能顯著。這引發(fā)了一個(gè)關(guān)鍵問題：在高度相似的二進(jìn)制文件之間找出兼容性差異，正是認(rèn)證工作的核心所在。這就像是在遵循食譜制作蛋糕的過程中，盡管每個(gè)人都能嘗試，但最終成品往往與食譜中的圖片大相徑庭。而認(rèn)證則是對實(shí)際成品的驗(yàn)證，它參照食譜但并不局限于食譜，旨在為用戶提供符合或優(yōu)于既有標(biāo)準(zhǔn)的解決方案，從而贏得他們的信任。

安全與信任緊密相連，其中二進(jìn)制文件的保障至關(guān)重要。以幾個(gè)具體案例為例，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）管理的加密模塊驗(yàn)證計(jì)劃（CMVP）負(fù)責(zé)驗(yàn)證模塊的二進(jìn)制文件是否符合聯(lián)邦信息處理標(biāo)準(zhǔn)140-2與140-3。在此計(jì)劃下，提交的加密模塊將接受第三方的嚴(yán)格測試與審查，以確保其符合既定的FIPS標(biāo)準(zhǔn)。只有通過這一審查過程的模塊，才能被認(rèn)為是可靠且能夠正確運(yùn)行的。

值得一提的是，RHEL的多個(gè)發(fā)行版及庫都已成功通過了此類驗(yàn)證。
NIST將未經(jīng)驗(yàn)證的密碼技術(shù)視為未對信息或數(shù)據(jù)進(jìn)行保護(hù)，即視為以未保護(hù)明文形式使用。若機(jī)構(gòu)聲稱其信息或數(shù)據(jù)已加密保護(hù)，則必須符合FIPS 140-2（有效期至2026年9月22日）或FIPS 140-3（自2020年9月22日起）的標(biāo)準(zhǔn)。使用加密技術(shù)時(shí)，必須進(jìn)行驗(yàn)證；若加密模塊未通過審查，則不得使用。

盡管如此，有些組織可能選擇忽視FIPS驗(yàn)證，但這樣做存在風(fēng)險(xiǎn)，因?yàn)樗麄儾荒芎唵蔚丶俣ㄎ唇?jīng)驗(yàn)證的加密模塊默認(rèn)滿足FIPS要求。隨著供應(yīng)鏈安全問題的日益凸顯，安全管理者們越來越傾向于避免使用來源不明且未經(jīng)驗(yàn)證的技術(shù)方案。

此外，國防信息系統(tǒng)局（DISA）與供應(yīng)商合作發(fā)布了針對各供應(yīng)商產(chǎn)品的安全技術(shù)實(shí)施指南（STIG）。DISA還維護(hù)著一套Linux/Unix STIG內(nèi)容列表，其中RHEL多次出現(xiàn)。美國國防部的多項(xiàng)計(jì)劃都曾對STIG進(jìn)行全面測試和/或操作，以證明系統(tǒng)變更與配置符合安全控制要求。值得注意的是，指南中明確禁止將STIG與某些衍生操作系統(tǒng)共同使用。因此，RHEL STIG不適用于CentOS Linux，RHEL的安全測試結(jié)果僅限于RHEL自身。將測試結(jié)果推廣至衍生操作系統(tǒng)屬于一類安全發(fā)現(xiàn)（CAT 1），即最高嚴(yán)重性級別，必須立即處理。

Red Hat向個(gè)人及開發(fā)團(tuán)隊(duì)免費(fèi)開放RHEL，實(shí)現(xiàn)了Red Hat技術(shù)儲備的大眾化推廣。然而，這并不意味著RHEL Insights等衍生系統(tǒng)所具備的成果也能直接應(yīng)用于個(gè)人及團(tuán)隊(duì)。對于某些特定用例，此次免費(fèi)開放可能不會產(chǎn)生直接影響。因此，我們需要明確區(qū)分認(rèn)證與許可用例的不同，以便更好地理解和利用Red Hat免費(fèi)開放RHEL所帶來的價(jià)值。當(dāng)然，衍生系統(tǒng)供應(yīng)商可以主動申請相同的認(rèn)證與許可，但必須清楚地表明，他們的版本并不直接繼承RHEL的認(rèn)證。