红芯造假：穿上创新的“马甲”危害更大！严惩伪创新才是尊重创新

科技日报记者 张佳星

[原文来自：www.ii77.com]

近期，红芯事件引发了计算机界的激辩。

8月15日，红芯国产浏览器被曝并非自主创新，网传视频解压其底层代码显示大量文件照搬谷歌浏览器旧版。事件发生后，红芯方面包括创始人陈本峰始终表示，有创新，并未抄袭。

红芯创始人兼CEO

记者在国家知识产权局网站专利检索中，输入红芯创始人“陈本峰”，勾选“发明专利”一栏，可以检索到16个与浏览器相关的专利授权。

近日，又有网友盘点了国产“爱抄”的开源软件，并对开源代码利用也提出了质疑。

那么，有创新，是否就表明是自主创新？红芯的创新又能否保证安全可控？究竟如何才能摆脱我国软件业受制于人的现状？带着这些疑问，9月11日，科技日报记者采访了信息系统工程专家、中国工程院院士沈昌祥等业内专家。

“创新程度有大小。”沈昌祥解释，“如果原来没有，现在有了，我们称为原始创新；如果在核心技术上没有突破，只是让技术更全面、更好用一些，我们称为科技进步。”

红芯浏览器的创新并非从无到有，而是基于谷歌旧版本的内核进行的再开发，使用代码为开源代码。

但是，“某种意义上说，开源又是极不安全的。”沈昌祥说，因为它有“麻痹性”，以为源代码全部公开就透明了，就完全掌握了，事实却是，一个系统的代码有几千万行，想要真正掌握，必须花费大量的人力、物力、时间去分析，工作量堪比重新开发。

“如果红芯真的对代码进行了全面掌握和理解，应该会对代码进行大量修订工作。”一位来自公安部系统的专家表示，角度、任务、场景、需求等不同，代码必定不同。此外，红芯使用谷歌老旧版本，既未能自主演进，又无法跟从新版本进化，也表明红芯并未“吃透”源代码，而仅仅是开源代码的“搬运工”。

“真正的自主创新一般是在对代码吃准摸透的基础上，通过创新产生了另一个演进方向。”上述专家表示，例如谷歌浏览器内核其实是在苹果浏览器内核WebKit开源代码的基础上演进的，最终衍生出自己的Blink内核，包含大量创新，可自行掌控，才能称得上自主创新。

反之，如果闭着眼拿为己用，又声称“可控”，等同于帮助大量漏洞“伪装潜入”，动摇安全根基。 

“现在自主可控满天飞，认为自己动手了就自主可控，这样的认识不全面。”沈昌祥说，操作系统、CPU都以代码为根基，很多国际厂商都与中国签订了合作协议，表示已经授权开放给中国了，真是这样吗？

沈昌祥举例道，微软和中国合资成立神州网信之后，2个月就声称推出了安全可控的Win10政府版。“这么短的时间，中方企业难以完成法律要求的对几千万行代码的系统进行底层改进，更别提自主创新。”

沈昌祥2015年曾担任Win10政府系统审查小组成员。他说，审查小组提出3个原则：电子证书系统国产化、应使用中国的商用密码系统、应使用中国的可信计算技术（原可信计算技术下，第三方软件要经过微软的认证才能运行），“由于违背这3个原则，Win10政府系统并未审查通过。推广Win10将直接威胁网络空间..。”

也就是说，这个借壳入市的国外系统依法证明并不可控。针对这一事件，中国工程院院士倪光南也曾表示，Win10未通过审查，会存在被监控、被劫持、被攻击、被禁售、密钥和证书失控、无法加固、无法打补丁、不支持国产CPU等安全风险，应停止采购和使用。然而，去年11月，未通过审查的“Windows 10神州网信政府版”已正式进入我国政府采购市场。

面对红芯事件引发的公众对网络安全的关切，倪光南再次提到上述事件并表示，与红芯事件相比，欺骗性更强、对网络安全威胁更大的是那些给不可控、不开源的外国专有软件“穿马甲”的行为。

无论是声称自主创新的红芯，还是声称对中国开放了代码的Win10，都无法做到安全可控。这表明没有真正的创新，始终摆脱不了受制于人的窘境，甚至受制程度会有所加剧。

“对合作方开放的全部源代码，要心中有数，不能盲从。”沈昌祥说，保障国家网络安全要做到“五可一有”，可知、可编、可重构、可信、可用、有自主知识产权。

自主创新要做到自主编写源代码，对代码中的核心进行重构，并在系统中加入我国自主的可信技术、密码算法等。国产系统可能在效率上，在代码的质量和优化上难以与国外产品一较高下，但安全性更高，也是“自力更生”的底气。

“我国拥有原始创新的可信技术体系，已经应用在增值税防伪、..防伪、二代居民身份证安全系统等的安全保障上，目前无一例安全事件发生。”沈昌祥说，中国可信计算源于1992年正式立项研究主动免疫的综合防护系统，经过长期攻关，军民融合，形成了自主创新的可信体系，跨入了可信计算3.0时代。可以方便地通过可信网络支撑..把现有设备升级为可信计算机系统，而应用系统不用改动，便于新老设备融为一体，构成全系统安全可信。

红芯事件曝出，对相关核查机制的呼唤更加强烈，沈昌祥表示，2017年6月1日，《网络安全法》正式实施，意味着网络空间安全有法可依，法律中明确规定了各职能部门的标准制定工作，以及各地方政府支持相关项目时的鉴定责任。