CloudQuery 的过去、现在和未来

CloudQuery (后续简称「CQ」)这个产品从设计/研发到现在，一晃已经 5 年多时间了，在不断的完善中，也积累了不少的社区/企业用户，我意识到，CQ 已经从一个 Idea 变成了公众软件，开始有它的使命、责任和价值主张。很多用户（客户）非常关注 CQ 的进展和规划，作为产品的第一负责人，来跟大家说说 CQ 的发展历程，对过去做个总结，对未来做个展望。

一、CQ 的诞生

2018 年公司刚成立不久，我们框定了数据库领域，先后尝试了数据库代理(Proxy)和复制迁移，开始做 Web SQL，即把 SQL 客户端运行在 Web 上，因为我坚信绝大部分不需要本地复杂计算的软件都需要迁移到 Web 上，这样才能融合到整个云背景中，或者可称之为 Cloudware。

Web SQL 最初的产品名称叫做 Daios(Database All In One Studio)，目标是一个类似于 DBEaver 的 Cloudware，但做出来之后，发现市场对于这类纯客户端的反应并不大，以某位老大哥的话来讲，这是痒点，不是痛点。正好碰到上海一个客户需要针对数据库做细粒度、精确的审计，同时管理用户对数据库的各种操作以及动态脱敏，于是我们「误打误撞」地跑到了数据安全赛道。

产品搞了，第一个客户也落定了，但每个接触过 Daios 的人都不知道怎么念，拗口的名称极大得影响了产品的推广。考虑到这个产品的 Cloudware 设定，并且主要针对数据库查询类做安全产品，也考虑过叫 CloudSecureQuery，但为了便于称呼，最终定为 CloudQuery。

二、V1：艰难起步

在 CQ v1.0 时期，产品团队只有 3 个人，我们对于功能的规划是尽量「抓大放小」，即：

• 突出以权限为主的安全三核心，即权限、脱敏和审计。

• 在数据库操作上只支持 Query，数据仅保留公共的表、视图，最早期的版本连物化视图都没有，更不用说同义字、dblink 等。

• 数据库的支持主要以「五大」为主，即 Oracle、SQLServer、MySQL、MongoDB 和 Redis（后来换成了 PostgreSQL）。

这个时期的产品虽然功能弱，但在技术上我们力求扩展性，坚持自研，并因此走了不少弯路，这是因为 CQ 的定位是一个门户类的平台产品，如果不关注技术，最终会被技术债吞噬。

一年多的探索下来，我们确定了一个数据库管控平台的几个核心技术点：

• 编辑器： 怎么适用于各种 SQL 的补全、高亮、格式化等。经过多方考察，最终确定 VSCode 分离出来的 monaco。monaco 提供了良好的 api 和扩展点，比如 textmate 的高亮语法，以及用于编辑交互的 LSP。

• 结果集： 怎么处理 SQL 和未来 NoSQL 的呈现和交互。这需要一个强大且高效的 Grid，CQ 使用的是 aggrid 社区版。aggrid 提供了很多实现复杂后台交互的 api 和 callback。

• 数据源模块化： 为保证数据源并行开发，且互相不干扰，必须实现带隔离的模块化。这个模块我们参考 Tomcat 的 war 包扩展机制，实现了 CQ 自己的数据源模块化机制，内部称之为 Database Modular System，简称 DMS。每个模块可以有自己的元素列表，行为交互，特征列表（比如是否支持事务、是否有 Schema 等）。

• 细粒度权限控制： 最初的想法是做一个跟业务结合（比如限时、限量）的数据库权限中间件，以 RBAC 为核心模型，基于开源 Fortress（完整实现了 RBAC/ARBAC 97）去扩展。这个选型给我们带来了一些痛苦。一个是底层的 AphacheDS(后换成 openldap) 不稳定，另一个问题是 Fortress 的 LDAP 存储模型与 CQ 默认的 PG 关系模型完全不同，无法便捷地进行数据关联。这些问题则加速了 CQ V2 大重构。

• 连接管理： CQ 作为一个 Web 综合数据库管理器，需要高效地创建、使用、回收各种异构多源数据库，并能够实时监控和分析。参考数据库面连接池（Pooling），我们结合 Web Rest 和自身业务需要实现 Connection Manager。

• 语义分析： 语义分析包含两部分，一个是前端的快速分局（Statement Splitter），这个好理解；另外是 Universal AST(UAST)，通过 SQL 语句分析判断用户执行的是哪个表、改的是哪个字段。这个从最初我们就基于 Antlr 来实现，因为 Antlr 有着大量的语言分析存量资产，且基本都是开源的，便于扩展。

• 审计分析： 基于传统的 kimball 模型做分析，列存使用了 PG 的扩展 cstore_fdw。现在看来，这个版本功能其实远离了数据库核心，且体验「处处漏风」，但也服务了 20 多个客户，我也分析了为什么它会有市场。

三、为什么 CQ 可以

任何一个能被认可的产品都是时代和环境的产物，这其中有 3 个关键因素影响了类 CQ 软件被接受并运用到实际数据生产中。

1、Cloud 时代

就需要大量交互的功能软件来说，Web 体验远比不上桌面，但是大中小都在上云，上云之后最好的软件形态就是 Webware，这里 Web 就是个云端数据中心软件的 Agent，理论上拥有可以连接和整合企业 IT 设施的无限能力。对比于单薄的桌面，功能上享受到的收益大于体验上获得的收益，这对高效工作很重要，比如 SSO，Dashboard，再比如 Portal 等等。并且随着前端技术的发展和浏览器厂家的海量投入，体验也在快速跟上。

2、数据崛起

随着互联网，特别是移动互联网的蔓延，世界的数据总量基本两年翻一番，这促成了数据相关的繁荣，比如存储、存取、转换、分析、安全、可视化等等，企事业开始接受对数据相关产品付费。数据对人们的生产生活影响越来越大，人们意识到，数据也应该像软硬件、网络设备那样被当作资产。上一代的企业 IT 资产通用保护装置「堡垒机」（或跳板机），主要用来保护主机和网络设备，无法有效 &深入地对数据资产进行保护，当前堡垒机的不足推动了 DBA 和数据相关安全人员选择更为专业的数据管控类产品。

3、信创支持

多年来，国际巨头几乎垄断了中国的数字化基础设施基础软硬件，这既包含数据库/大数据，也包含繁荣的生态配套，就此共生了大概 40、50 年时间。随着全球 IT 生态格局的演变，迫使中国必须要建立基于安全的 IT 底层架构和标准。近几年信创产业的大力发展，逐步解决了一些关键问题的 0 到 1，但在一些配套和优化上仍是缺失。信创数据库是刚需，那么配套的客户端、复制迁移、监控以及安全等等也是刚需，这是独属于中国中小软件公司的机会。

CQ 会顺着这个路径继续完善下去，CQ 可以，我相信很多数据安全类的软件云化也可以。

四、ToB 与社区版

曾经一个做堡垒机的大佬说「在企业市场打死我都不搞免费和开源，这很不商业」，因为付出和收益不对等。

这几年的 ToB 下场实践，我发现愿意付费、能付费对客户项目的成功是一件好事，这能在最大程度上保障业务需求的贴合和产品的稳定性。但对于软件公司来说，除了点对点地服务好客户，市场上的声音更是推动产品发展和前进的「燃料」。

为了获取更多市场对于 CQ 这类产品的反馈和需求，我决定尝试社区这条路径。但由于对知识产权保护缺乏信心，所以我暂时放弃开源（opensource），而是选择免费路线（freeware）。我们能坚定不移地搞社区的原因，也有几点：

• 互联网一代站起来了： 过去的企业软件使用者/决策者更习惯通过会议、销售上门、平面媒体等方式获取产品及行业信息。而现在网络成为了获取信息的最重要方式。大家也愿意尝试和参与这类软件的建设，比如下载使用、评论反馈等等。

• 在市场触达上， 社区可以让 ToB 典型的两个组织的互动简化为两个人（使用者和开发者）之间的互动，能够提升产品版本迭代的同时，极大地降低了互动的成本和顾虑。

• 在技术上， 国外创新层出不穷对比国内的乏善可陈可能有很多原因。其中一个重要因素我认为是连接和互动。就跟大模型一样，连接点越多越强大，越容易「涌现」。把于此相关的人和事连接在一起，就是我期望社区达到的一个目标。这能够加速想法和反馈的流动，在软件技术或功能创新上或许会有更多可能性。

社区是个融合了我对技术、产品和市场看法的创新实践，期望能够在现实环境下以产品公司的底色发展壮大的同时，还能够提供最广泛的客户价值。

五、V2：大重构

经过两年各式项目的增强，CQ 无论外在还是内在都已「千疮百孔」，已经无法进一步支撑客户需求，思考再三，决定进行大重构。从开始编写目标到第一个 V2 客户测试，足足花了 1 年多时间。 而产品的变化主要来自三个方面：

1、定义的变迁

如果说 V1 的 CQ 是一个挂载了安全功能的简易数据库 Web 客户端，那么 V2 根据大量的客户沟通和实践，CQ 则被定义为「数据安全入口」。这个数据不仅指数据库的数据，也包括应用的数据、网络的数据、其他存储的数据等等。如果把数据仓比作一个园区，那么 CQ 就是唯一的一道门，且进出的路上有大量的安全配置。

2、功能扩展

功能上主要围绕两个面展开，一个是对数据库种类（包括 nosql）进行大量支持。截至当前，CQ V2 系列已经完整支持 28 种国内外数据库。 尤其是大数据库方面如 hive/vertica，已经成为很多企业数据开发人员的首选工具。同时我们也会在 V2 周期内实现主流国产数据库覆盖，既包括 OceanBase、GaussDB、达梦等 TP 数据库，也包括 TiDB、StarRocks、DWS 等 AP 数据库。

另外一个是围绕安全三剑客 “权限、脱敏、审计” 进行完善，其功能对标国内主流安全厂家的产品，其中：

• 权限控制除了常规的手动授权，增加了分级授权（管理大规模数据库有用）和自动授权机制，并提供权限看板，便于全局观察权限状态。

• 数据脱敏增加了数据仿真，即伪数据，并开发「简易静态脱敏」。

• 审计分析改进是这个版本的重点，把方方面面的操作比如导出、授权等都收纳入了审计，且对一些审计人员比较关注的维度进行了统计。除此之外，还增加了一些行为分析指标，如数据删除、越权等，系统可以根据指标设置进行告警。

在这个版本，我们已经有意识有计划地根据用户反馈改进操作体验，主要集中在导出、执行日志、结果展示、脱敏、审计展示等方面。

3、技术改进

能让我们顺利进行功能深度改造的核心是技术的大重构，我们几乎重写了底层所有的关键代码，主要包括以下方面：

• Pipeline 流水线： 针对不同的数据库类型、场景以及各种安全设置，形成不同的执行流水线。

• UAST 统一语法树： 用统一语法树改进结构 API，稳定解析相关的质量。

• DW 数仓： 基于 ClickHouse 的新一代数仓取代老式的 PG+ 列存扩展。

• 数据复制： 既可用于数据脱敏，也可用于以后的同构/异构数据库的表/列等复制。

• RDB 版本的权限中间件： 基于 RBAC/ARBAC/PRBAC 模型重写了权限中间件，为复杂授权提供有力支撑。

• 集群能力： 支持对各种关键组件的水平扩展，并与 K8S 兼容

• ......

六、V3：展望

虽然我们是「偶然」拐到数据安全领域的，但我们也发现，在当前阶段，数据安全还没有很好地被分析和对待。很大一个原因是安全行业的成功者基本都来自于网络安全领域，如果依旧用同样的技术手段、产品模式甚至商业模式去解决新的数据问题，就很难成功。

数据是什么？是业务承载，所以数据安全刨开技术问题，很大程度上是个业务问题。这意味着数据安全的解决方案要关注更多“层”面，用我的一张 PPT 阐明下观点：

或者说，数据安全需要以全栈或者平台的思路去解决，需要干一些「脏活累活」（目前正火的 AI 正好可派上用场) ，需要处理好通用性和可扩展性的平衡，这也是 CQ 在 V3 周期的主体思路。我们将会把 CQ 建设成为一个“数据安全平台”，沿数据生命周期，对各式数据进行高效接入和全面保护。

站在产品角度，安全虽然能合法合规，但经常会降低工作效率，为提升使用者的获得感，必须要通过提升效率来对冲安全带来的消耗，即不仅安全，还好用。围绕这个核心目标，我们将会继续做以下工作：

1、完善产品矩阵（1+N)

除了「入口」，我们将开发更多子产品，使之遍布在“园区”各处，更全面地满足各种场景，形成 「CloudQuery 产品家族」，即 1+N 体系。当前明确的主要有：

• SQL 审核： 实现在执行、变更等事前的审核，减轻 DBA 压力；逐步完善规则库，并可以根据数据元素一键配置。

• 账号分析： 通过分析应用、组织人员、数据库之间的账号关联，识别潜在的账号风险、比如弱密码、账号泄露、非法访问等。

• 应用脱敏： 在不改造应用的情况下，对应用按需/按用户进行动态脱敏，也就是俗称的业务脱敏。

• 静态脱敏： 完善 CQ 平台中的「简易静态脱敏」，将其建设为独立产品，可针对生产/开发，在线/离线进行拷贝式的脱敏。

后续还可能有 API 安全网关、数据分级分类、数据加密等等。

2、改进用户体验和效率

之前的版本，我们一直在「赶功能」，对于用户体验这一块有很多的负债。这个版本，我们将针对一些典型问题进行持续清算，主要包括：

• 定制安装： 提供模块化能力，用户可根据自己的需求，安装必须的模块，减少使用资源开销。

• 改善执行环节： 提升执行过程的效率，尽量减少安全计算带来的影响；对结果集进行更多选项和配置，方便定位和查看数据；以及日志、事务控制、进度等等。

• 场景化的权限配置： 根据行业、管理团队大小以及所在组织的管理习惯，能够匹配更贴近的权限管理模式，比如主/客授权、批量自动模式、审批流程等。

• 审计告警： 对用户的数据操作行为，增设更多的审计指标，并加强告警及处理机制。

• 数据复制： 可以在同构和异构数据库之间拷贝列、拷贝行、拷贝表和 schema 等。

• 结果展示： 增强 json、图片、文件、空间、网页等结构的呈现，进一步完善对大数据的支持。

• 流程改进： 为各种操作流程增设更多的自定义环节。

3、持续进化

CQ 将会沿着图尔兹的产品战略持续进化，持续带给用户更多的价值：

• 运维效率相关： 原生 K8S 支持、更丰富更完整的 OpenAPI/SDK、自助诊断、智能调度、SQL 分析和建议。

• 安全相关： 提升敏感数据的识别和关联、高危动作及风险分析、数据的分级分类/资产标识/目录、数据监控和态势。

• 信息的关联： 围绕数据主体和使用人对信息进行更全面的链接、聚合。

4、走出去

社区运营的过程中，陆续有人希望我们推出英文版，当前英化已经搞定，这个季度我们会在国内外发布英文版。另外从 2024 年开始，将正式出海推广，并尝试支持更多的语言，比如西班牙语、日语等。希望通过跟国外同类产品同台竞技，为用户带来更多的可能性。

在产品更完善的同时，我们能坚守的承诺就是社区只会越来越开放，一些企业级功能会逐渐下放，开放文档会更细节。 此外，我们也会吸纳外部公司/开发者，以源代码共享的模式共建一些扩展功能模块。

七、花开叶落，初心不改

最初搞这个产品时，是希望安全类的产品除了合规，也能好用，更立体地解决用户对数据的关切。但在行业呆久了问题变成另外一个：做软件尤其是技术软件怎么在当前环境下，保证生存发展的同时还能坚持创新？这是软件创业者共同面对的难题。

软件在国内 IT 史里除了零散的喝彩，从来没长时间雄起过，甚至在向“人天”和准外包剧烈地倒退。社会要进一步发展（提升效率），各行各业细分的高质量软件必不可少，甚至比 AI/大数据重要的多，而搞好软件的关键是人才及创新精神。

人才需要利润支撑，在温饱都不普遍的情形下如何获取？创新如果缺乏法律和文化的坚实保护，又该如何有“技巧”地落实？这需要坚定的战略，也需要灵巧的步伐。走了 5 年多，我们还是要坚决的突破，最大化地连接技术、云、互联网和社区等要素，走出一条可复制的软件路来。