近日，百度安全MesaTEE通用安全计算框架正式通过全球著名开源社区Apache基金会的投票决议，以全票通过的优秀表现正式成为Apache孵化器项目。这是Apache基金会首次接收以Rust为主要开发语言的项目，也是我厂继Echarts、Doris、brpc后，第四个进入国际顶级开源社区Apache的项目。

MesaTEE系列项目于2018年由百度安全联手Intel宣告正式发布，主要包括核心基础安全框架Rust-SGX-SDK（2017年4月开源）和通用安全计算框架MesaTEE（2019年7月开源）。

项目自诞生以来就受到整个社区的强势关注，已经在国际顶级安全学术会议CCS [1，2] 、国际顶级安全工业界会议BlueHat [3]、开源社区RustCon[4]、RustFest[5]、QCon[11] 等知名安全舞台上发表论文和演讲，向社区合作伙伴展示了百度安全引领世界的研发思路和实践成果，获得工业界和学术界的高度评价。

目前MesaTEE项目和Rust SGX SDK项目均已迁移至Github Apache[6, 7] 组织下，欢迎开源开发者通过项目Github Issue或项目Apache Mailing List[8] 参与社区讨论，贡献代码。

MesaTEE——全球首个通用安全计算平台

MesaTEE（Universal Secure Computing，简称USC）是全球首个通用安全计算平台，它对安全和隐私有强诉求的场景提供了下一代通用安全计算能力，使得敏感数据即便在企业外环境和离岸场景下也能安全受控的流通和处理，且不会被泄露和滥用。

MesaTEE通过综合采用包括百度安全提出的混合内存安全技术（Hybrid Memory Safety与Non-bypassable Security Paradigm），机密计算技术（Confidential Computing，如Intel SGX），以及可信计算技术（如TPM）的三项核心技术，构建起了完整的FaaS通用计算框架，能够为云上数据代码的完整性和保密性提供芯片级的安全保障，这一世界首创的独特优势让攻击者突破的难度急剧增加，同时这也是目前唯一可远程验证且内存安全的可信安全计算服务框架。

更值得关注的是，与传统基于密码学的多方安全计算或全同态加密技术相比，MesaTEE性能一般会快百倍以上，而且编程模式与传统编程一致，适合普通程序员快速上手进行应用。目前的开源版本已经支持MesaPy（内存安全的Python）等安全语言，进一步降低开发门槛。

赋能多场景应用，MesaTEE护航云上数据安全

大数据分析、机器学习、云/边缘计算和区块链等新兴技术正在以前所未有的速度带动社会的发展，但同时也带来了各种新的隐私和安全问题：在公有云和区块链上，医疗健康和财务记录等敏感数据可能会被不可信的程序分析处理，造成隐私泄露；在机构内数据交换时，不同类别机密信息可能跨越合规许可边界，落入恶意使用者之手；离岸数据供应链中各种隐私失控事件也层出不穷，给各家企业造成了经济、法律和名誉的冲击。

除了数据隐私，机器学习模型本身的保护也亟待解决——模型一旦泄露，攻击者可以盗用知识产权，或利用模型的弱点轻松发起白盒攻击。想象一下如果我们的自动驾驶模型或者智能安防模型的弱点被攻击者掌握，后果让人不寒而栗。

面对所有这些风险情景，我们迫切需要一种可信赖且安全的机制，保障商业过程中的数据安全可控，MesaTEE的出现无疑成为了数据流通安全的技术变革之一，将大大延伸互联网和AI产业的信任边界。MesaTEE旨在通过开源开放推动通用安全计算生态发展，为大数据和AI带来的技术生产力革命提供信任保障的基础支持，充分解决跨部门/公司之间的数据交换或多方计算，让金融、账号、医疗等敏感业务享受到隐私保护的区块链/云服务，为无人驾驶等与生命财产息息相关的业务保驾护航。

截至目前，MesaTEE已经和主流云计算/区块链/芯片厂商以及高校/研究机构深入合作，综合推进硬件TEE、软件内存安全、和应用丰富强大的计算服务，打造国际安全且灵活通用的安全计算服务框架。同时发布了多款基于MesaTEE的安全计算解决方案，包括金融联合建模平台、可信身份认证等。除此之外，蚂蚁金服（Occlum），Ericsson、Visa、Chain、Ramp、Enigma、OasisLab、Tracer、MobileCoin、能链、秘猿等项目已经在开源社区中采纳或者贡献。金融和区块链行业需求异常强烈，已有累计估值数亿美元的区块链项目采纳。

MesaTEE底层将继续保持Rust-SGX生态系统独一无二的可用性、领先性和前瞻性，在此基础上进一步完善建设基于TPM/TrustZone/SEV等跨多种可信基的可信计算生态系统。而在框架层面，则会进一步完善功能组件，全面支持保障云计算、大数据、AI计算等场景的安全性。MesaTEE将坚持以安全性为主要目标，丰富开源生态基础库和主要功能组件，增强开源社区活跃，在Apache组织中吸引更多合作伙伴加入生态，共建社区。通过开源社区的会议、刊物等大力推广Rust-SGX/TPM/TrustZone生态系统和其独特的安全理念，推进MesaTEE可信安全计算服务典型应用落地和合规资质层面布局，凸显在同类产品中的安全，引领生态的健康持续发展。

秉承“有AI，更安全”的使命，百度安全始终倡导通过新一代技术研发与开源，实现对安全问题的快速响应和有效对抗。百度安全于2018年将首创的七大技术——KARMA系统自适应热修复、OpenRASP下一代云端安全防护系统、MesaLock Linux内存安全操作系统、MesaLink TLS下一代安全通信库、AdvBox对抗样本工具箱、MesaTEE下一代可信安全计算服务、HugeGraph大规模图数据库——开源汇成AI安全“七种武器”，全面解决云管端以及大数据和算法层面的一系列安全风险问题，实现由传统安全时代的强管理向AI时代的强技术支撑下的核心管理转变，全面应对AI时代下层出不穷的安全挑战。未来，百度安全也将持续倡导开源文化，打造AI安全时代的开源生态，保持与知名开源社区的紧密联系与合作，打破技术壁垒，积极拥抱开源。

了解更多内容请移步：

l  [1] CCS '19, Towards Memory Safety for Enclave Programs with Rust-SGX

l  [2] CCS '18, [POSTER] Rust SGX SDK: Towards Memory Safety in Intel SGX Enclave

l  [3]BlueHat '19, MesaTEE SGX: Redefining AI and Big Data Analysis with Intel SGX

l  [4] RustCon Asia '19, Build a Secure and Trusted Framework in Rust

l  [5] RustFest '18, Bringing Intel SGX to the Rust Ecosystem

l  [6] MesaTEE开源项目地址： https://github.com/apache/incubator-mesatee

l  [7]原Rust SGX SDK： https://github.com/apache/mesatee-sgx

l  [8] MesaTEE Dev Mailing List: dev@mesatee.incubator.apache.org

l  [9] QCon '17, Towards Memory Safety in Intel SGX Enclave

l  MesaTEE Issue Mailing List: issues@mesatee.incubator.apache.org

l  商务合作：mesatee@baidu.com