倪光南
近日,中国科学院下属某实验室自称“完全自主可控”国产编程语言“木兰(Mulan)”发布,遭到网友质疑,认为该工作是利用现有的编程语言Python改头换面而已,目前该项目研发人已经公开回应这是基于Python二次开发,他也已被停职检查。对这种情况当然应该予以批评,不过这属于极个别的问题,而且发现快、纠正及时,未造成很大的影响,我们不必夸大这种问题,更没有理由因此质疑整个“自主可控”事业的发展。
从总体上来看,我国现在网信领域的整体技术和产业水平已居世界第二。相比发达国家而言,中国在网信领域是整体跟跑,但有些方面已出现了跟跑、并跑、领跑并存的局面。不过,受发达国家技术封锁的影响,目前我国关键技术领域被“卡脖子”的现象依然存在,为了解决受制于人的问题,我们在未来很长一段时间内都会继续坚持安全可控和开放创新并重、坚持独立自主和对外开放相统一的方针,尤其是关键核心技术的“自主可控”非常重要,这一点上我们不能因噎废食,因出现某些极个别的事件而动摇我们的奋斗目标。
现在我们网信技术发展的短板是芯片和基础软件,也就是通常所说的“缺芯少魂”。这些方面都是我们发展“自主可控”技术的重要方向。编程语言在基础软件甚至整个信息技术领域中都有非常重要的价值,这方面我们还明显落后于发达国家,即使可以用开源软件,也存在着被某些国家“长臂管辖”的风险,比如此前全球最大的代码开源社区Github就更改了用户协议,服务器及用户上传的信息要接受美国法律监督,包括美国的出口管制法律。所以我们需要在这个领域加大研发力度,以便能够真正地实现“自主可控”,那将会是我国网信领域的一大突破。
实际上,将某些不能自主可控的外国产品打扮成自主可控的国产产品的“穿马甲”现象时有发生,它有着十分严重的危害,既可能引入网络安全风险,又可能影响补齐网络技术“短板”的努力。
为防止此类事件再次发生,笔者认为有必要对关键核心技术在以往已经实施的“质量测评”和“安全测评”外再增加“自主可控测评”。具体来讲,就是针对CPU、OS等核心技术产品或针对其他软硬件和服务制订客观、科学的“自主可控性”测评标准,并由第三方机构实行测评。在关系到网信安全的重要场合,“自主可控”测评可起“一票否决”作用。总之,为了增强网络安全,我们还应该从各个方向加强“自主可控”的制度建设。▲
(作者是中国科学院计算所研究员、中国工程院院士)