红芯浏览器“套壳”事件引发业界追问“自主可控”大讨论

■我们的记者赵广利见习记者不夜

4月16日，“中兴事件”的爆发引发了社会各界对如何摆脱被外国“困”的命运的关注。然而，仅仅四个月后(8月15日)，一家名为“红芯时代”的公司宣布，依靠“红芯浏览器”完成了2.5亿元的一轮融资，该浏览器“打破了美国的垄断，独立开发了国内浏览器内核”。后来，人们发现其所谓的“独立研发”只是开源浏览器内核的包装和“外壳”，引发了计算机领域以外的另一轮“独立控制”讨论。

截至发帖时，红心已经公开道歉，并承认夸大了宣传。

实现国内软硬件的自主创新，克服信息产业的“瓶颈”问题，激起了科技界的神经。红色核心浏览器的夸张宣传集中体现了行业“自主可控”情结的扭曲。

什么是真正的自主和控制？《中国科学日报》采访的相关专家学者表示，“自主性”作为知识产权的一个恰当术语，只是以安全为目标实现“可控性”的途径之一，但“自主性”并不是“可控性”的充分必要条件。换句话说，“闭门造车”独立开发的软件不一定比开源软件更容易控制。基于开源软件开发两次的软件也可以满足“可控”需求。此外，“自主性”和“可控性”的权重对于不同的行业和应用是不同的。公众、投资者甚至*部门都应该理性对待“自主性”和“可控性”。

贴上“自治”的标签违背了开源的精神

显然，红心事件的主角“红心浏览器”，不是“自主控制”下的产品。8月16日，红心发布声明称，红心浏览器内核基于通用浏览器内核架构，即铬开源项目，而不是基于铬浏览器的技术创新。

总的来说，开源社区鼓励基于现有技术的二次创新，但前提是遵循开源许可协议和开放标准。红芯在这次事件中“人人喊打”的原因是，人们蔑视它公然吹嘘不存在的“自主可控”标签，同时公开违反开源精神。

“对开源精神的尊重可以从两个方面来看:一是公开承认和感谢原始的开源软件，并在代码中保留相应的开源协议和感谢；二是根据一些开源协议的要求，公开二次开发代码中国科学院计算技术研究所研究员鲍云刚在中国计算机科学基金会济南泰山剑“红心事件”特别论坛上的介绍性发言中表示，红心浏览器的行为违背了开源精神，不可避免地会遭到开源社区和业界的蔑视，并被视为剽窃和欺诈。

"红心不是第一个这样的例子."鲍云刚说，开源并不意味着不能赚钱，而是只有基于开源精神的商业模式才能被所有人认可和接受。

红帽是Linux开源社区的领导者。公司开发的企业版RHEL是公司的主要收入来源，它基于开源Linux的二次开发为世界500强公司提供定制的企业版Linux和相关服务。如今，红帽已经成长为一家市值超过250亿美元、年收入超过25亿美元的公司。

“红帽遵循开源协议来开放源代码，因此每个人都可以免费获得与RHEL相同功能的*操作系统。这也让每个人都能认出这顶红帽子。”鲍云刚说。

拥抱开源，拥抱创新

中国的软件产业始于国际软件产业中许多关键国际标准的制定，本质上缺乏“自主”土壤。然而，近年来，由于国家不断强调“自我控制”，人们似乎只承认“自我创新”，对开源创新视而不见，甚至产生误解。

“现在互联网上有人质疑，商业公司使用开源代码等同于标准打磨、剽窃，甚至对使用开源的公司进行越来越激进的批评。然而，在2018年的今天，即使是微软、谷歌和苹果也无法避免使用开源代码来构建新的商业模式。”360个人电脑浏览器事业部总经理梁志辉告诉《中国科学新闻》，它比谷歌好。Chrome浏览器也是由webkit内核、skia/zlib/openssl和其他开源项目构建而成的。“原因是开源的精神是鼓励程序员用代码互相交流，减少重复。我们应该充分发挥群体的智慧，而忽略种族、国籍、公司和性别的差异。”

事实上，互联网公司在反复拆解、学习和重组后，使用开源技术开发出用户体验更好的产品。这种方法当然是创新的。

"和操作系统一样，浏览器也是运营商级产品。"梁志辉表示，国内企业错过了互联网的早期技术红利。现在，如果他们经历拆卸、学习、升级甚至领先的浏览器产品，他们最终将能够在许多国际组织中投票，甚至影响下一代产品的标准，这样来自世界各地的产品将遵循这个方向，这就是现在要走的路。

不幸的是，尽管中国的软件产业拥有世界上最多的程序员和工程师，但它对世界开源社区的贡献却很小。鲍云刚遗憾地指出，在中国的软件研发中，像红芯这样强调“巨人肩上的创新”是很常见的，但最终很难成为巨人。

“面对已经形成的生态产品浏览器，为了促进自我控制，我们需要在更高层次上促进基于开源产品的创新。”梁志辉建议中国软件产业的上下游应该建立符合国际开放标准的技术规范。如果有定义国家标准的行业标准，该行业将有规则可循。此外，还必须避免依赖国外的封闭源代码商业产品技术，“拥抱开放源代码和开放技术，以摆脱外国垄断。”

中国科学院计算技术研究所研究员张在接受《中国科学》杂志采访时表示，一个庞大的用户群体提炼出来的需求创新让我们在创新方面有了更多的主动权，并逐渐帮助我们赢得了在国际舞台上的话语权，使我们能够影响行业标准，从而引领现有的开源生态，甚至创造一种新的开源生态。

“开源”共享不是“自治”的对立面

从软件源代码是否开放来看，目前的软件主要包括两个阵营:封闭源码系统和开放源码系统。前者以微软的视窗系统为代表，后者以Linux系统为代表。

“开源系统大多是在遵守开源协议的基础上共享的，因此完全有可能在开源软件的基础上构建‘共享可控’系统。”张说，在这个意义上，“共享”只是“专有”的对立面，而不是“自治”。因此，“使用共享开源软件进行“可控”研发和控制是完全可行的”。

梁之辉对此深有感触。

“事实上，如果一个开发人员能够理解和理解一个开源项目，能够在原始项目上打包更好的体验，能够解决原始项目中的缺陷和漏洞，并且能够在任何时候合并项目中的新功能，那么他就有能力在原始项目的基础上进行创新。”梁志辉告诉记者，举例来说，如果随着时间的发展，开发者编写的代码能够抵制住在开源项目上提交大量补丁和新功能的欲望，这将证明他们已经跳出了跟风，进入了创新状态。"这个开发者首先做这个项目有多重要？"

“自我控制”不容易评价

事实上，从软件本身的角度来看，“自主控制”侧重于评估它是否拥有自己独立开发的专利、算法和代码，以及它是否侵犯了他人的知识产权等。“可控性”更侧重于有效的信息和系统是否可以被监控和有效保护。

张告诉记者，软件是一个建立在比特基础上的极其复杂的世界，是一个相互联系、不断发展的综合系统。自主性和可控性只是这个系统中的两个观察视角。系统中不同软件产品的自主性和可控性的评估标准并不完全一致。

中国工程院院士倪光南在接受《中国科学报》采访时表示，人们质疑“红心”浏览器是否是自主可控的，反映了对网络安全和非传统安全的更深理解。这显然是一个进步，而不是孤立的事件。为了在中国实现软件的自主性和可控性，首先必须建立一套评价软件自主性和可控性的体系和体系。

要判断一个网络信函产品或服务是自主的还是可控的，往往涉及很多问题，不容易得出结论。据了解，有关部门在推进*和重要部门自制自主可控替代中，正在实施“多维度评估”，即除了实施常规的“质量评估”和“安全评估”(与国家实施的“等级保护制度”相关)，还专门实施“自主可控评估”。例如，中国信息安全评估中心为操作系统和*处理器核心技术制定了自主可控的评估标准。

倪光南建议，相关第三方评估机构也应根据客观需要，针对浏览器等重要硬件和软件制定相应的标准，并为各行业提供独立可控的评估服务。他希望将这次关于“红心”的讨论作为一个机会，在互联网传播领域将“自主可控的评估”制度化。这样，不仅可以为国内自主可控技术和产品的发展指明方向，也可以防止一些“穿国产自主可控背心”的技术、产品和服务混进重要领域。

中国没有独立开发的浏览器内核。

《中国科学报》(2018-08-23，第5版《技术与经济周刊》)