紅芯瀏覽器是基于谷歌舊版本的內(nèi)核進(jìn)行的再開發(fā),使用代碼為開源代碼。
近期,紅芯事件引發(fā)了計(jì)算機(jī)界的激辯。
8月15日,紅芯國產(chǎn)瀏覽器被曝并非自主創(chuàng)新,網(wǎng)傳視頻解壓其底層代碼顯示大量文件照搬谷歌瀏覽器舊版。事件發(fā)生后,紅芯方面包括創(chuàng)始人陳本峰始終表示,有創(chuàng)新,并未抄襲。
記者在國家知識(shí)產(chǎn)權(quán)局網(wǎng)站專利檢索中,輸入紅芯創(chuàng)始人“陳本峰”,勾選“發(fā)明專利”一欄,可以檢索到16個(gè)與瀏覽器相關(guān)的專利授權(quán)。
近日,又有網(wǎng)友盤點(diǎn)了國產(chǎn)“愛抄”的開源軟件,并對(duì)開源代碼利用也提出了質(zhì)疑。
那么,有創(chuàng)新,是否就表明是自主創(chuàng)新?紅芯的創(chuàng)新又能否保證安全可控?究竟如何才能擺脫我國軟件業(yè)受制于人的現(xiàn)狀?帶著這些疑問,9月11日,科技日?qǐng)?bào)記者采訪了信息系統(tǒng)工程專家、中國工程院院士沈昌祥等業(yè)內(nèi)專家。
只是開源代碼的“搬運(yùn)工”
“創(chuàng)新程度有大小!鄙虿榻忉專叭绻瓉頉]有,現(xiàn)在有了,我們稱為原始創(chuàng)新;如果在核心技術(shù)上沒有突破,只是讓技術(shù)更全面、更好用一些,我們稱為科技進(jìn)步!
紅芯瀏覽器的創(chuàng)新并非從無到有,而是基于谷歌舊版本的內(nèi)核進(jìn)行的再開發(fā),使用代碼為開源代碼。
“利用開源代碼進(jìn)行創(chuàng)新性工作是貫穿于整個(gè)軟件業(yè)發(fā)展的,我們應(yīng)該尊重這個(gè)規(guī)律,完全從頭自己搞一套的是‘傻瓜’!鄙虿檎f,無論IBM還是微軟都利用開源代碼進(jìn)行創(chuàng)新。
但是,“某種意義上說,開源又是極不安全的!鄙虿檎f,因?yàn)樗小奥楸孕浴,以為源代碼全部公開就透明了,就完全掌握了,事實(shí)卻是,一個(gè)系統(tǒng)的代碼有幾千萬行,想要真正掌握,必須花費(fèi)大量的人力、物力、時(shí)間去分析,工作量堪比重新開發(fā)。
“如果紅芯真的對(duì)代碼進(jìn)行了全面掌握和理解,應(yīng)該會(huì)對(duì)代碼進(jìn)行大量修訂工作!币晃粊碜怨膊肯到y(tǒng)的專家表示,角度、任務(wù)、場景、需求等不同,代碼必定不同。此外,紅芯使用谷歌老舊版本,既未能自主演進(jìn),又無法跟從新版本進(jìn)化,也表明紅芯并未“吃透”源代碼,而僅僅是開源代碼的“搬運(yùn)工”。
“真正的自主創(chuàng)新一般是在對(duì)代碼吃準(zhǔn)摸透的基礎(chǔ)上,通過創(chuàng)新產(chǎn)生了另一個(gè)演進(jìn)方向。”上述專家表示,例如谷歌瀏覽器內(nèi)核其實(shí)是在蘋果瀏覽器內(nèi)核WebKit開源代碼的基礎(chǔ)上演進(jìn)的,最終衍生出自己的Blink內(nèi)核,包含大量創(chuàng)新,可自行掌控,才能稱得上自主創(chuàng)新。反之,如果閉著眼拿為己用,又聲稱“可控”,等同于幫助大量漏洞“偽裝潛入”,動(dòng)搖安全根基。
自己動(dòng)手就自主可控?
“現(xiàn)在自主可控滿天飛,認(rèn)為自己動(dòng)手了就自主可控,這樣的認(rèn)識(shí)不全面!鄙虿檎f,操作系統(tǒng)、CPU都以代碼為根基,很多國際廠商都與中國簽訂了合作協(xié)議,表示已經(jīng)授權(quán)開放給中國了,真是這樣嗎?
沈昌祥舉例道,微軟和中國合資成立神州網(wǎng)信之后,2個(gè)月就聲稱推出了安全可控的Win10政府版!斑@么短的時(shí)間,中方企業(yè)難以完成法律要求的對(duì)幾千萬行代碼的系統(tǒng)進(jìn)行底層改進(jìn),更別提自主創(chuàng)新!
沈昌祥2015年曾擔(dān)任Win10政府系統(tǒng)審查小組成員。他說,審查小組提出3個(gè)原則:電子證書系統(tǒng)國產(chǎn)化、應(yīng)使用中國的商用密碼系統(tǒng)、應(yīng)使用中國的可信計(jì)算技術(shù)(原可信計(jì)算技術(shù)下,第三方軟件要經(jīng)過微軟的認(rèn)證才能運(yùn)行),“由于違背這3個(gè)原則,Win10政府系統(tǒng)并未審查通過。推廣Win10將直接威脅網(wǎng)絡(luò)空間國家主權(quán)!
也就是說,這個(gè)借殼入市的國外系統(tǒng)依法證明并不可控。針對(duì)這一事件,中國工程院院士倪光南也曾表示,Win10未通過審查,會(huì)存在被監(jiān)控、被劫持、被攻擊、被禁售、密鑰和證書失控、無法加固、無法打補(bǔ)丁、不支持國產(chǎn)CPU等安全風(fēng)險(xiǎn),應(yīng)停止采購和使用。然而,去年11月,未通過審查的“Windows 10神州網(wǎng)信政府版”已正式進(jìn)入我國政府采購市場。
面對(duì)紅芯事件引發(fā)的公眾對(duì)網(wǎng)絡(luò)安全的關(guān)切,倪光南再次提到上述事件并表示,與紅芯事件相比,欺騙性更強(qiáng)、對(duì)網(wǎng)絡(luò)安全威脅更大的是那些給不可控、不開源的外國專有軟件“穿馬甲”的行為。
沒有真正的創(chuàng)新,擺脫不了受制于人的窘境
無論是聲稱自主創(chuàng)新的紅芯,還是聲稱對(duì)中國開放了代碼的Win10,都無法做到安全可控。這表明沒有真正的創(chuàng)新,始終擺脫不了受制于人的窘境,甚至受制程度會(huì)有所加劇。
“對(duì)合作方開放的全部源代碼,要心中有數(shù),不能盲從!鄙虿檎f,保障國家網(wǎng)絡(luò)安全要做到“五可一有”,可知、可編、可重構(gòu)、可信、可用、有自主知識(shí)產(chǎn)權(quán)。自主創(chuàng)新要做到自主編寫源代碼,對(duì)代碼中的核心進(jìn)行重構(gòu),并在系統(tǒng)中加入我國自主的可信技術(shù)、密碼算法等。國產(chǎn)系統(tǒng)可能在效率上,在代碼的質(zhì)量和優(yōu)化上難以與國外產(chǎn)品一較高下,但安全性更高,也是“自力更生”的底氣。
“我國擁有原始創(chuàng)新的可信技術(shù)體系,已經(jīng)應(yīng)用在增值稅防偽、彩票防偽、二代居民身份證安全系統(tǒng)等的安全保障上,目前無一例安全事件發(fā)生。”沈昌祥說,中國可信計(jì)算源于1992年正式立項(xiàng)研究主動(dòng)免疫的綜合防護(hù)系統(tǒng),經(jīng)過長期攻關(guān),軍民融合,形成了自主創(chuàng)新的可信體系,跨入了可信計(jì)算3.0時(shí)代?梢苑奖愕赝ㄟ^可信網(wǎng)絡(luò)支撐平臺(tái)把現(xiàn)有設(shè)備升級(jí)為可信計(jì)算機(jī)系統(tǒng),而應(yīng)用系統(tǒng)不用改動(dòng),便于新老設(shè)備融為一體,構(gòu)成全系統(tǒng)安全可信。
紅芯事件曝出,對(duì)相關(guān)核查機(jī)制的呼喚更加強(qiáng)烈,沈昌祥表示,2017年6月1日,《網(wǎng)絡(luò)安全法》正式實(shí)施,意味著網(wǎng)絡(luò)空間安全有法可依,法律中明確規(guī)定了各職能部門的標(biāo)準(zhǔn)制定工作,以及各地方政府支持相關(guān)項(xiàng)目時(shí)的鑒定責(zé)任。