中國(guó)工程院院士談紅芯造假：穿上創(chuàng)新的“馬甲”危害更大

紅芯瀏覽器是基于谷歌舊版本的內(nèi)核進(jìn)行的再開發(fā)，使用代碼為開源代碼。

近期，紅芯事件引發(fā)了計(jì)算機(jī)界的激辯。

8月15日，紅芯國(guó)產(chǎn)瀏覽器被曝并非自主創(chuàng)新，網(wǎng)傳視頻解壓其底層代碼顯示大量文件照搬谷歌瀏覽器舊版。事件發(fā)生后，紅芯方面包括創(chuàng)始人陳本峰始終表示，有創(chuàng)新，并未抄襲。

記者在國(guó)家知識(shí)產(chǎn)權(quán)局網(wǎng)站專利檢索中，輸入紅芯創(chuàng)始人“陳本峰”，勾選“發(fā)明專利”一欄，可以檢索到16個(gè)與瀏覽器相關(guān)的專利授權(quán)。

近日，又有網(wǎng)友盤點(diǎn)了國(guó)產(chǎn)“愛(ài)抄”的開源軟件，并對(duì)開源代碼利用也提出了質(zhì)疑。

那么，有創(chuàng)新，是否就表明是自主創(chuàng)新？紅芯的創(chuàng)新又能否保證安全可控？究竟如何才能擺脫我國(guó)軟件業(yè)受制于人的現(xiàn)狀？帶著這些疑問(wèn)，9月11日，科技日?qǐng)?bào)記者采訪了信息系統(tǒng)工程專家、中國(guó)工程院院士沈昌祥等業(yè)內(nèi)專家。

只是開源代碼的“搬運(yùn)工”

“創(chuàng)新程度有大小�！鄙虿�祥解釋，“如果原來(lái)沒(méi)有，現(xiàn)在有了，我們稱為原始創(chuàng)新；如果在核心技術(shù)上沒(méi)有突破，只是讓技術(shù)更全面、更好用一些，我們稱為科技進(jìn)步�！�

紅芯瀏覽器的創(chuàng)新并非從無(wú)到有，而是基于谷歌舊版本的內(nèi)核進(jìn)行的再開發(fā)，使用代碼為開源代碼。

“利用開源代碼進(jìn)行創(chuàng)新性工作是貫穿于整個(gè)軟件業(yè)發(fā)展的，我們應(yīng)該尊重這個(gè)規(guī)律，完全從頭自己搞一套的是‘傻瓜’�！鄙虿�祥說(shuō)，無(wú)論IBM還是微軟都利用開源代碼進(jìn)行創(chuàng)新。

但是，“某種意義上說(shuō)，開源又是極不安全的�！鄙虿�祥說(shuō)，因?yàn)樗�有“麻痹性”，以為源代碼全部公開就透明了，就完全掌握了，事實(shí)卻是，一個(gè)系統(tǒng)的代碼有幾千萬(wàn)行，想要真正掌握，必須花費(fèi)大量的人力、物力、時(shí)間去分析，工作量堪比重新開發(fā)。

“如果紅芯真的對(duì)代碼進(jìn)行了全面掌握和理解，應(yīng)該會(huì)對(duì)代碼進(jìn)行大量修訂工作。”一位來(lái)自公安部系統(tǒng)的專家表示，角度、任務(wù)、場(chǎng)景、需求等不同，代碼必定不同。此外，紅芯使用谷歌老舊版本，既未能自主演進(jìn)，又無(wú)法跟從新版本進(jìn)化，也表明紅芯并未“吃透”源代碼，而僅僅是開源代碼的“搬運(yùn)工”。

“真正的自主創(chuàng)新一般是在對(duì)代碼吃準(zhǔn)摸透的基礎(chǔ)上，通過(guò)創(chuàng)新產(chǎn)生了另一個(gè)演進(jìn)方向�！鄙鲜鰧＜冶硎荆�例如谷歌瀏覽器內(nèi)核其實(shí)是在蘋果瀏覽器內(nèi)核WebKit開源代碼的基礎(chǔ)上演進(jìn)的，最終衍生出自己的Blink內(nèi)核，包含大量創(chuàng)新，可自行掌控，才能稱得上自主創(chuàng)新。反之，如果閉著眼拿為己用，又聲稱“可控”，等同于幫助大量漏洞“偽裝潛入”，動(dòng)搖安全根基。

自己動(dòng)手就自主可控？

“現(xiàn)在自主可控滿天飛，認(rèn)為自己動(dòng)手了就自主可控，這樣的認(rèn)識(shí)不全面�！鄙虿�祥說(shuō)，操作系統(tǒng)、CPU都以代碼為根基，很多國(guó)際廠商都與中國(guó)簽訂了合作協(xié)議，表示已經(jīng)授權(quán)開放給中國(guó)了，真是這樣嗎？

沈昌祥舉例道，微軟和中國(guó)合資成立神州網(wǎng)信之后，2個(gè)月就聲稱推出了安全可控的Win10政府版�！斑@么短的時(shí)間，中方企業(yè)難以完成法律要求的對(duì)幾千萬(wàn)行代碼的系統(tǒng)進(jìn)行底層改進(jìn)，更別提自主創(chuàng)新。”

沈昌祥2015年曾擔(dān)任Win10政府系統(tǒng)審查小組成員。他說(shuō)，審查小組提出3個(gè)原則：電子證書系統(tǒng)國(guó)產(chǎn)化、應(yīng)使用中國(guó)的商用密碼系統(tǒng)、應(yīng)使用中國(guó)的可信計(jì)算技術(shù)（原可信計(jì)算技術(shù)下，第三方軟件要經(jīng)過(guò)微軟的認(rèn)證才能運(yùn)行），“由于違背這3個(gè)原則，Win10政府系統(tǒng)并未審查通過(guò)。推廣Win10將直接威脅網(wǎng)絡(luò)空間國(guó)家主權(quán)�！�

也就是說(shuō)，這個(gè)借殼入市的國(guó)外系統(tǒng)依法證明并不可控。針對(duì)這一事件，中國(guó)工程院院士倪光南也曾表示，Win10未通過(guò)審查，會(huì)存在被監(jiān)控、被劫持、被攻擊、被禁售、密鑰和證書失控、無(wú)法加固、無(wú)法打補(bǔ)丁、不支持國(guó)產(chǎn)CPU等安全風(fēng)險(xiǎn)，應(yīng)停止采購(gòu)和使用。然而，去年11月，未通過(guò)審查的“Windows 10神州網(wǎng)信政府版”已正式進(jìn)入我國(guó)政府采購(gòu)市場(chǎng)。

面對(duì)紅芯事件引發(fā)的公眾對(duì)網(wǎng)絡(luò)安全的關(guān)切，倪光南再次提到上述事件并表示，與紅芯事件相比，欺騙性更強(qiáng)、對(duì)網(wǎng)絡(luò)安全威脅更大的是那些給不可控、不開源的外國(guó)專有軟件“穿馬甲”的行為。

沒(méi)有真正的創(chuàng)新，擺脫不了受制于人的窘境

無(wú)論是聲稱自主創(chuàng)新的紅芯，還是聲稱對(duì)中國(guó)開放了代碼的Win10，都無(wú)法做到安全可控。這表明沒(méi)有真正的創(chuàng)新，始終擺脫不了受制于人的窘境，甚至受制程度會(huì)有所加劇。

“對(duì)合作方開放的全部源代碼，要心中有數(shù)，不能盲從�！鄙虿�祥說(shuō)，保障國(guó)家網(wǎng)絡(luò)安全要做到“五可一有”，可知、可編、可重構(gòu)、可信、可用、有自主知識(shí)產(chǎn)權(quán)。自主創(chuàng)新要做到自主編寫源代碼，對(duì)代碼中的核心進(jìn)行重構(gòu)，并在系統(tǒng)中加入我國(guó)自主的可信技術(shù)、密碼算法等。國(guó)產(chǎn)系統(tǒng)可能在效率上，在代碼的質(zhì)量和優(yōu)化上難以與國(guó)外產(chǎn)品一較高下，但安全性更高，也是“自力更生”的底氣。

“我國(guó)擁有原始創(chuàng)新的可信技術(shù)體系，已經(jīng)應(yīng)用在增值稅防偽、彩票防偽、二代居民身份證安全系統(tǒng)等的安全保障上，目前無(wú)一例安全事件發(fā)生�！鄙虿�祥說(shuō)，中國(guó)可信計(jì)算源于1992年正式立項(xiàng)研究主動(dòng)免疫的綜合防護(hù)系統(tǒng)，經(jīng)過(guò)長(zhǎng)期攻關(guān)，軍民融合，形成了自主創(chuàng)新的可信體系，跨入了可信計(jì)算3.0時(shí)代。可以方便地通過(guò)可信網(wǎng)絡(luò)支撐平臺(tái)把現(xiàn)有設(shè)備升級(jí)為可信計(jì)算機(jī)系統(tǒng)，而應(yīng)用系統(tǒng)不用改動(dòng)，便于新老設(shè)備融為一體，構(gòu)成全系統(tǒng)安全可信。

紅芯事件曝出，對(duì)相關(guān)核查機(jī)制的呼喚更加強(qiáng)烈，沈昌祥表示，2017年6月1日，《網(wǎng)絡(luò)安全法》正式實(shí)施，意味著網(wǎng)絡(luò)空間安全有法可依，法律中明確規(guī)定了各職能部門的標(biāo)準(zhǔn)制定工作，以及各地方政府支持相關(guān)項(xiàng)目時(shí)的鑒定責(zé)任。