紅芯造假:穿上創(chuàng)新的“馬甲”危害更大
——紅芯國產瀏覽器事件引發(fā)的反思
本報記者 張佳星
近期�����,紅芯事件引發(fā)了計算機界的激辯��。
8月15日���,紅芯國產瀏覽器被曝并非自主創(chuàng)新,網(wǎng)傳視頻解壓其底層代碼顯示大量文件照搬谷歌瀏覽器舊版��。事件發(fā)生后��,紅芯方面包括創(chuàng)始人陳本峰始終表示����,有創(chuàng)新,并未抄襲�����。
記者在國家知識產權局網(wǎng)站專利檢索中��,輸入紅芯創(chuàng)始人“陳本峰”��,勾選“發(fā)明專利”一欄����,可以檢索到16個與瀏覽器相關的專利授權。
近日�,又有網(wǎng)友盤點了國產“愛抄”的開源軟件�����,并對開源代碼利用也提出了質疑��。
那么����,有創(chuàng)新����,是否就表明是自主創(chuàng)新?紅芯的創(chuàng)新又能否保證安全可控?究竟如何才能擺脫我國軟件業(yè)受制于人的現(xiàn)狀?帶著這些疑問,9月11日����,科技日報記者采訪了信息系統(tǒng)工程專家、中國工程院院士沈昌祥等業(yè)內專家����。
只是開源代碼的“搬運工”
“創(chuàng)新程度有大小。”沈昌祥解釋���,“如果原來沒有�,現(xiàn)在有了��,我們稱為原始創(chuàng)新;如果在核心技術上沒有突破,只是讓技術更全面�、更好用一些,我們稱為科技進步����。”
紅芯瀏覽器的創(chuàng)新并非從無到有,而是基于谷歌舊版本的內核進行的再開發(fā)����,使用代碼為開源代碼���。
“利用開源代碼進行創(chuàng)新性工作是貫穿于整個軟件業(yè)發(fā)展的����,我們應該尊重這個規(guī)律���,完全從頭自己搞一套的是‘傻瓜’����。”沈昌祥說����,無論IBM還是微軟都利用開源代碼進行創(chuàng)新���。
但是,“某種意義上說��,開源又是極不安全的���。”沈昌祥說�����,因為它有“麻痹性”��,以為源代碼全部公開就透明了�,就完全掌握了����,事實卻是,一個系統(tǒng)的代碼有幾千萬行�,想要真正掌握,必須花費大量的人力��、物力�、時間去分析,工作量堪比重新開發(fā)。
“如果紅芯真的對代碼進行了全面掌握和理解�����,應該會對代碼進行大量修訂工作�。”一位來自公安部系統(tǒng)的專家表示,角度��、任務���、場景���、需求等不同�����,代碼必定不同�����。此外�,紅芯使用谷歌老舊版本,既未能自主演進�,又無法跟從新版本進化,也表明紅芯并未“吃透”源代碼���,而僅僅是開源代碼的“搬運工”�。
“真正的自主創(chuàng)新一般是在對代碼吃準摸透的基礎上,通過創(chuàng)新產生了另一個演進方向����。”上述專家表示,例如谷歌瀏覽器內核其實是在蘋果瀏覽器內核WebKit開源代碼的基礎上演進的���,最終衍生出自己的Blink內核��,包含大量創(chuàng)新�,可自行掌控����,才能稱得上自主創(chuàng)新。反之���,如果閉著眼拿為己用�,又聲稱“可控”�����,等同于幫助大量漏洞“偽裝潛入”,動搖安全根基���。
自己動手就自主可控����?
“現(xiàn)在自主可控滿天飛���,認為自己動手了就自主可控��,這樣的認識不全面���。”沈昌祥說,操作系統(tǒng)�、CPU都以代碼為根基,很多國際廠商都與中國簽訂了合作協(xié)議��,表示已經(jīng)授權開放給中國了�,真是這樣嗎?
沈昌祥舉例道�,微軟和中國合資成立神州網(wǎng)信之后,2個月就聲稱推出了安全可控的Win10政府版���。“這么短的時間�,中方企業(yè)難以完成法律要求的對幾千萬行代碼的系統(tǒng)進行底層改進,更別提自主創(chuàng)新���。”
沈昌祥2015年曾擔任Win10政府系統(tǒng)審查小組成員����。他說�,審查小組提出3個原則:電子證書系統(tǒng)國產化、應使用中國的商用密碼系統(tǒng)��、應使用中國的可信計算技術(原可信計算技術下�����,第三方軟件要經(jīng)過微軟的認證才能運行)��,“由于違背這3個原則�,Win10政府系統(tǒng)并未審查通過。推廣Win10將直接威脅網(wǎng)絡空間國家主權����。”
也就是說,這個借殼入市的國外系統(tǒng)依法證明并不可控����。針對這一事件�����,中國工程院院士倪光南也曾表示���,Win10未通過審查,會存在被監(jiān)控��、被劫持��、被攻擊���、被禁售�����、密鑰和證書失控��、無法加固����、無法打補丁��、不支持國產CPU等安全風險���,應停止采購和使用���。然而,去年11月�����,未通過審查的“Windows 10神州網(wǎng)信政府版”已正式進入我國政府采購市場�。
面對紅芯事件引發(fā)的公眾對網(wǎng)絡安全的關切,倪光南再次提到上述事件并表示�����,與紅芯事件相比��,欺騙性更強���、對網(wǎng)絡安全威脅更大的是那些給不可控�����、不開源的外國專有軟件“穿馬甲”的行為�。
沒有真正的創(chuàng)新���,擺脫不了受制于人的窘境
無論是聲稱自主創(chuàng)新的紅芯�,還是聲稱對中國開放了代碼的Win10,都無法做到安全可控���。這表明沒有真正的創(chuàng)新�,始終擺脫不了受制于人的窘境��,甚至受制程度會有所加劇��。
“對合作方開放的全部源代碼����,要心中有數(shù),不能盲從����。”沈昌祥說,保障國家網(wǎng)絡安全要做到“五可一有”��,可知����、可編、可重構���、可信�����、可用�����、有自主知識產權��。自主創(chuàng)新要做到自主編寫源代碼�����,對代碼中的核心進行重構���,并在系統(tǒng)中加入我國自主的可信技術、密碼算法等���。國產系統(tǒng)可能在效率上�,在代碼的質量和優(yōu)化上難以與國外產品一較高下�,但安全性更高,也是“自力更生”的底氣��。
“我國擁有原始創(chuàng)新的可信技術體系,已經(jīng)應用在增值稅防偽����、彩票防偽、二代居民身份證安全系統(tǒng)等的安全保障上���,目前無一例安全事件發(fā)生�。”沈昌祥說��,中國可信計算源于1992年正式立項研究主動免疫的綜合防護系統(tǒng)����,經(jīng)過長期攻關,軍民融合���,形成了自主創(chuàng)新的可信體系�,跨入了可信計算3.0時代���??梢苑奖愕赝ㄟ^可信網(wǎng)絡支撐平臺把現(xiàn)有設備升級為可信計算機系統(tǒng)���,而應用系統(tǒng)不用改動��,便于新老設備融為一體�,構成全系統(tǒng)安全可信。
紅芯事件曝出���,對相關核查機制的呼喚更加強烈,沈昌祥表示�,2017年6月1日,《網(wǎng)絡安全法》正式實施�,意味著網(wǎng)絡空間安全有法可依,法律中明確規(guī)定了各職能部門的標準制定工作�����,以及各地方政府支持相關項目時的鑒定責任��。
標簽:
馬甲
瀏覽器
國產
