摘要：4月16 日，“中興事件”爆發引發各界對計算機核心技術如何擺脫被國外“卡脖子”命運的關注。

4月16 日，“中興事件”爆發引發各界對計算機核心技術如何擺脫被國外“卡脖子”命運的關注；然而僅僅4個月后（8月15日），一家名為“紅芯時代”的公司就宣布依靠“打破美國壟斷，自主研發國產瀏覽器內核”的“紅芯瀏覽器”完成2.5億元的C輪融資，并在隨后被揭發其所謂的“自主研發”不過是對開源瀏覽器內核的包裝和“套殼”而已，引發了超越計算機領域的又一輪關于“自主可控”的大討論。

截至發文，紅芯公司已經公開道歉并承認夸大宣傳。

實現國產軟硬件的自主創新，攻克信息產業的“卡脖子”難題挑動著科技界的神經，紅芯瀏覽器肆意夸大的宣傳更是業界“自主可控”情結扭曲化的集中體現。

到底什么是真正的自主可控？受訪《中國科學報》的相關專家、學者紛紛表示，“自主”作為知識產權專有名詞，只是實現以安全為目標的“可控”的途徑之一，但“自主”并不是“可控”的充分必要條件。換言之，“閉門造車”自主研發的軟件，其可控性不一定強于開源軟件；基于開源軟件的二次開發得來的軟件，也可以達到“可控”的要求。并且，對于不同的行業和應用，“自主”與“可控”的權重也不相同，公眾、投資者乃至政府部門都應該理性看待“自主”與“可控”。

亂貼“自主”標簽有悖開源精神

顯然，紅芯事件中的主角“紅芯瀏覽器”并非“自主可控”下的產物。8月16日紅芯公司發布聲明稱，紅芯瀏覽器內核是基于通用的瀏覽器內核架構，即Chromium開源項目，而非基于Chrome瀏覽器基礎上進行技術創新。

通常，開源社區鼓勵基于已有技術的二次創新，但前提是要遵守開源授權協議，遵守開放式標準。紅芯在此次事件中之所以“人人喊打”，原因就在于人們對其一邊大肆吹噓并不存在的“自主可控”標簽，一邊卻公然違背開源精神的做法所不齒。

“尊重開源精神體現在兩方面：一是公開承認和致謝原始開源軟件，并在代碼中保留相應的開源協議與致謝；二是根據某些開源協議的要求公開二次開發的代碼。”中國科學院計算技術研究所研究員包云崗在CCF YOCSEF濟南泰山論劍“紅芯事件”特別論壇上的引導發言中說，紅芯瀏覽器這種違背開源精神的行為，必然會引來開源社區與產業界的不齒，會被視為抄襲、造假等。

“這樣的例子，紅芯并不是第一個。”包云崗說，開源并不等于不能賺錢，但只有基于開源精神構建的商業模式才能讓大家認可和接受。

紅帽公司是Linux開源社區的佼佼者，該公司開發的企業版RHEL是公司的主要收入來源，并為很多世界500強企業提供基于開源Linux二次開發定制的企業版Linux和相關服務，如今紅帽公司已經成長為一個市值超過250億美元、年收入超過25億美元的公司。

“紅帽遵循開源協議開源了代碼，所以大家可以免費獲取和RHEL功能一樣的CentOS。這也讓大家認可紅帽。”包云崗說。

擁抱開源不誤擁抱創新

我國軟件產業起步于國際軟件產業諸多關鍵性國際標準制定之后，先天缺乏“自主”土壤。然而，近年來由于國家對“自主可控”的不斷強調，人們似乎變得只認“自主創新”而對開源創新視而不見，甚至產生誤解。

“現在網上有些聲音質疑商業公司使用開源代碼等同于磨標、抄襲，甚至越來越激進地去批判使用開源的公司。殊不知，處于2018年的今天，即使是微軟、谷歌、蘋果都無法避免使用開源代碼去構建新的商業模式。”360PC瀏覽器事業部總經理梁志輝告訴《中國科學報》記者，強如谷歌，Chrome瀏覽器也是從webkit內核和skia/zlib/openssl等開源項目做起來的。“究其原因，在于開源的精神是鼓勵程序員之間以代碼進行交流，減少重復做輪子。在忽略種族、國籍、公司、性別差異的情況下，發揮群體智慧。”

事實上，互聯網公司利用開源技術，反復拆解、學習、重新組織后，發展出用戶體驗更佳的產品，獲得廣泛的用戶認可，這種方式當然也是創新。

“瀏覽器和操作系統一樣，是航母級別的產品。”梁志輝說，國內公司錯失互聯網早期技術紅利，如今如果經歷從拆解、學習、升級甚至是主導瀏覽器產品，最終做到能在諸多國際組織擁有投票權，甚至影響下一代產品的標準，讓全世界的產品都按照這個方向去做，才是現在應該走的路。

遺憾的是，盡管中國軟件行業的程序員和工程師數量堪稱世界之最，卻對世界開源社區的貢獻寥寥。包云崗不無遺憾地指出，類似紅芯強調的“站在巨人肩膀上創新”在我國的軟件研發中很普遍，卻最終難成巨人。

“面對瀏覽器這種已經成型的生態型產品，要推動自主可控，需要更高的層面推動基于開源產品的創新。”梁志輝建議，我國軟件行業上下游應該建立符合國際開放標準的技術規范，如果有工業標準定義國標，行業會有規則可依據；此外，還要避免依賴外國閉源商業產品的技術，“擁抱開源和開放的技術，才有機會擺脫外國的壟斷”。

中國科學院計算技術研究所研究員張佩珩則告訴《中國科學報》記者，通過龐大的用戶群體提煉出的需求創新，賦予了我們更多的創新主動權，正逐步幫我們爭取在國際上的話語權，讓我們有能力去影響行業標準，從而主導現有的開源生態，乃至創建新的開源生態。

“開源”共享與“自主”并不對立

從軟件源代碼開放與否方面考查，目前的軟件主要包括閉源系統和開源系統兩大陣營，前者以微軟的Windows系統為典型代表，后者以Linux系統為主要代表。

“開源系統在遵從開源協議的基礎上大部分是共享的，因此，完全可以在開源軟件的基礎上建立‘共享可控’的系統。”張佩珩說，從這個意義上講，“共享”只與“專有”是對立的，而并不與“自主”相對立，因此，“利用共享的開源軟件進行‘可控’的研發和掌控是完全可行的”。

對此，梁志輝深有感觸。

“其實，如果一個開發者能看懂吃透一個開源項目，能夠在原項目上包裝出更好的體驗，能夠解決原項目的bug和漏洞，隨時合并項目里的新特性，那么就具備了在原項目基礎上做創新的能力。”梁志輝向記者舉例說，如果隨著時間發展，開發者做的代碼能反向往開源項目上提交大量修復和新特性，那就證明已經跳出跟隨、進入創新狀態了。“至于最開始這個項目是不是這位開發者做的，又有多重要呢？”

“自主可控”并不易評價

事實上，從軟件自身角度考慮“自主可控”，“自主”多側重于評價其是否擁有自己獨立開發的專利、算法和代碼，是否侵犯他人的知識產權等；“可控”則更多地側重于是否能對有效信息和系統實施安全監控，是否能有效地保障信息安全和系統安全。

張佩珩說，軟件作為建立在比特之上的、極其復雜的世界，是一個相互關聯、不斷發展的綜合體系，自主與可控只是這個體系中的兩個觀察視角，對于體系之中的不同軟件產品，在自主可控方面的評價標準并不完全一致。

中國工程院院士倪光南在接受《中國科學報》記者采訪時表示，人們對“紅芯”瀏覽器是否自主可控提出質疑，反映了大家對網絡安全、對非傳統安全有了更深的認識，這顯然是一個進步，而并非孤立事件。在中國實現軟件的自主可控首先要建立一套評價軟件自主可控與否的體系和制度。

要判斷一個網信產品或服務是否自主可控，往往涉及許多方面的問題，不是很容易做出結論。據了解，有關部門在政府和重要部門推進國產自主可控替代中，正在實施“多維度測評”，也就是除了實施常規的“質量測評”和“安全測評”（與國家實施的“等級保護制度”相關）外，還專門實施“自主可控測評”。例如，中國信息安全測評中心已制定了針對操作系統和CPU核心技術的自主可控測評標準。

倪光南建議有關第三方測評機構根據客觀需要，對瀏覽器之類重要的硬件、軟件也制定相應的標準，并對各界提供自主可控測評服務。他希望以這次圍繞“紅芯”展開的討論為契機，將“自主可控測評”在網信領域實現制度化，這樣，既可以給發展國產自主可控技術和產品指明方向，又可以防止某些“穿國產自主可控馬甲”的技術、產品和服務混入重要領域。

國內并沒有自主研發的瀏覽器內核。