作者:赵广立 卜叶 来源:中国科学报 发布时间:2018/8/23 9:25:48
选择字号:
红芯浏览器“套壳”事件引发业界追问“自主可控”大讨论
真“可控”何必假“自主”

 

■本报记者 赵广立 见习记者 卜叶

4月16 日,“中兴事件”爆发引发各界对计算机核心技术如何摆脱被国外“卡脖子”命运的关注;然而仅仅4个月后(8月15日),一家名为“红芯时代”的公司就宣布依靠“打破美国垄断,自主研发国产浏览器内核”的“红芯浏览器”完成2.5亿元的C轮融资,并在随后被揭发其所谓的“自主研发”不过是对开源浏览器内核的包装和“套壳”而已,引发了超越计算机领域的又一轮关于“自主可控”的大讨论。

截至发文,红芯公司已经公开道歉并承认夸大宣传。

实现国产软硬件的自主创新,攻克信息产业的“卡脖子”难题挑动着科技界的神经,红芯浏览器肆意夸大的宣传更是业界“自主可控”情结扭曲化的集中体现。

到底什么是真正的自主可控?受访《中国科学报》的相关专家、学者纷纷表示,“自主”作为知识产权专有名词,只是实现以安全为目标的“可控”的途径之一,但“自主”并不是“可控”的充分必要条件。换言之,“闭门造车”自主研发的软件,其可控性不一定强于开源软件;基于开源软件的二次开发得来的软件,也可以达到“可控”的要求。并且,对于不同的行业和应用,“自主”与“可控”的权重也不相同,公众、投资者乃至政府部门都应该理性看待“自主”与“可控”。

乱贴“自主”标签有悖开源精神

显然,红芯事件中的主角“红芯浏览器”并非“自主可控”下的产物。8月16日红芯公司发布声明称,红芯浏览器内核是基于通用的浏览器内核架构,即Chromium开源项目,而非基于Chrome浏览器基础上进行技术创新。

通常,开源社区鼓励基于已有技术的二次创新,但前提是要遵守开源授权协议,遵守开放式标准。红芯在此次事件中之所以“人人喊打”,原因就在于人们对其一边大肆吹嘘并不存在的“自主可控”标签,一边却公然违背开源精神的做法所不齿。

“尊重开源精神体现在两方面:一是公开承认和致谢原始开源软件,并在代码中保留相应的开源协议与致谢;二是根据某些开源协议的要求公开二次开发的代码。”中国科学院计算技术研究所研究员包云岗在CCF YOCSEF济南泰山论剑“红芯事件”特别论坛上的引导发言中说,红芯浏览器这种违背开源精神的行为,必然会引来开源社区与产业界的不齿,会被视为抄袭、造假等。

“这样的例子,红芯并不是第一个。”包云岗说,开源并不等于不能赚钱,但只有基于开源精神构建的商业模式才能让大家认可和接受。

红帽公司是Linux开源社区的佼佼者,该公司开发的企业版RHEL是公司的主要收入来源,并为很多世界500强企业提供基于开源Linux二次开发定制的企业版Linux和相关服务,如今红帽公司已经成长为一个市值超过250亿美元、年收入超过25亿美元的公司。

“红帽遵循开源协议开源了代码,所以大家可以免费获取和RHEL功能一样的CentOS。这也让大家认可红帽。”包云岗说。

拥抱开源不误拥抱创新

我国软件产业起步于国际软件产业诸多关键性国际标准制定之后,先天缺乏“自主”土壤。然而,近年来由于国家对“自主可控”的不断强调,人们似乎变得只认“自主创新”而对开源创新视而不见,甚至产生误解。

“现在网上有些声音质疑商业公司使用开源代码等同于磨标、抄袭,甚至越来越激进地去批判使用开源的公司。殊不知,处于2018年的今天,即使是微软、谷歌、苹果都无法避免使用开源代码去构建新的商业模式。”360PC浏览器事业部总经理梁志辉告诉《中国科学报》记者,强如谷歌,Chrome浏览器也是从webkit内核和skia/zlib/openssl等开源项目做起来的。“究其原因,在于开源的精神是鼓励程序员之间以代码进行交流,减少重复做轮子。在忽略种族、国籍、公司、性别差异的情况下,发挥群体智慧。”

事实上,互联网公司利用开源技术,反复拆解、学习、重新组织后,发展出用户体验更佳的产品,获得广泛的用户认可,这种方式当然也是创新。

“浏览器和操作系统一样,是航母级别的产品。”梁志辉说,国内公司错失互联网早期技术红利,如今如果经历从拆解、学习、升级甚至是主导浏览器产品,最终做到能在诸多国际组织拥有投票权,甚至影响下一代产品的标准,让全世界的产品都按照这个方向去做,才是现在应该走的路。

遗憾的是,尽管中国软件行业的程序员和工程师数量堪称世界之最,却对世界开源社区的贡献寥寥。包云岗不无遗憾地指出,类似红芯强调的“站在巨人肩膀上创新”在我国的软件研发中很普遍,却最终难成巨人。

“面对浏览器这种已经成型的生态型产品,要推动自主可控,需要更高的层面推动基于开源产品的创新。”梁志辉建议,我国软件行业上下游应该建立符合国际开放标准的技术规范,如果有工业标准定义国标,行业会有规则可依据;此外,还要避免依赖外国闭源商业产品的技术,“拥抱开源和开放的技术,才有机会摆脱外国的垄断”。

中国科学院计算技术研究所研究员张佩珩则告诉《中国科学报》记者,通过庞大的用户群体提炼出的需求创新,赋予了我们更多的创新主动权,正逐步帮我们争取在国际上的话语权,让我们有能力去影响行业标准,从而主导现有的开源生态,乃至创建新的开源生态。

“开源”共享与“自主”并不对立

从软件源代码开放与否方面考查,目前的软件主要包括闭源系统和开源系统两大阵营,前者以微软的Windows系统为典型代表,后者以Linux系统为主要代表。

“开源系统在遵从开源协议的基础上大部分是共享的,因此,完全可以在开源软件的基础上建立‘共享可控’的系统。”张佩珩说,从这个意义上讲,“共享”只与“专有”是对立的,而并不与“自主”相对立,因此,“利用共享的开源软件进行‘可控’的研发和掌控是完全可行的”。

对此,梁志辉深有感触。

“其实,如果一个开发者能看懂吃透一个开源项目,能够在原项目上包装出更好的体验,能够解决原项目的bug和漏洞,随时合并项目里的新特性,那么就具备了在原项目基础上做创新的能力。”梁志辉向记者举例说,如果随着时间发展,开发者做的代码能反向往开源项目上提交大量修复和新特性,那就证明已经跳出跟随、进入创新状态了。“至于最开始这个项目是不是这位开发者做的,又有多重要呢?”

“自主可控”并不易评价

事实上,从软件自身角度考虑“自主可控”,“自主”多侧重于评价其是否拥有自己独立开发的专利、算法和代码,是否侵犯他人的知识产权等;“可控”则更多地侧重于是否能对有效信息和系统实施安全监控,是否能有效地保障信息安全和系统安全。

张佩珩告诉记者,软件作为建立在比特之上的、极其复杂的世界,是一个相互关联、不断发展的综合体系,自主与可控只是这个体系中的两个观察视角,对于体系之中的不同软件产品,在自主可控方面的评价标准并不完全一致。

中国工程院院士倪光南在接受《中国科学报》记者采访时表示,人们对“红芯”浏览器是否自主可控提出质疑,反映了大家对网络安全、对非传统安全有了更深的认识,这显然是一个进步,而并非孤立事件。在中国实现软件的自主可控首先要建立一套评价软件自主可控与否的体系和制度。

要判断一个网信产品或服务是否自主可控,往往涉及许多方面的问题,不是很容易做出结论。据了解,有关部门在政府和重要部门推进国产自主可控替代中,正在实施“多维度测评”,也就是除了实施常规的“质量测评”和“安全测评”(与国家实施的“等级保护制度”相关)外,还专门实施“自主可控测评”。例如,中国信息安全测评中心已制定了针对操作系统和CPU核心技术的自主可控测评标准。

倪光南建议有关第三方测评机构根据客观需要,对浏览器之类重要的硬件、软件也制定相应的标准,并对各界提供自主可控测评服务。他希望以这次围绕“红芯”展开的讨论为契机,将“自主可控测评”在网信领域实现制度化,这样,既可以给发展国产自主可控技术和产品指明方向,又可以防止某些“穿国产自主可控马甲”的技术、产品和服务混入重要领域。

国内并没有自主研发的浏览器内核。

《中国科学报》 (2018-08-23 第5版 技术经济周刊)
 
 打印  发E-mail给: 
    
 
以下评论只代表网友个人观点,不代表科学网观点。 

目前已有0条评论
相关新闻 相关论文

图片新闻
我国第一块“细胞培养肉”诞生 子午工程二期标志性设备启动建设
NASA公布土星最大卫星泰坦地质图 窥探海洋微生物的世界
>>更多
 
一周新闻排行 一周新闻评论排行
 
编辑部推荐博文
 
论坛推荐