乌卡时代，关键核心技术绝不能靠“拿来主义” | 警惕披着马甲的“伪信创”

点击 信创纵横 并设为星标⭐️ 及时获取最新资讯

2008年10月美国微软的黑屏（Microsoft black）事件；2010年震网病毒席卷全球超过45000个网络；2013年6月美国“棱镜门”事件曝光；2018年开始，中兴华为被制裁等一系列事件的相继发生，印证了我国在信息技术软硬件基础设施领域进行自主创新的前瞻性和重要性；2019年底开始的新冠疫情爆发，则加剧了国内外环境的复杂性和不确定性；今年二月开始，“俄乌冲突”引发了重大的全球局势变化。在真实的硝烟背后，一场没有硝烟的科技战已经激烈打响，众多美欧科技巨头先后宣布对俄“断供”。“科技无国界”的口号可以随时被本国利益所影响，契约可以毁坏，规则可以打破，开源的大门可以突然紧闭。

近年来，美国商务部工业和安全局运用《出口管理条例》（EAR），对数百家中国实体的管制，其实质是美国利用国家安全借口对科技领域竞争对手的打压和限制。近日，美国针对我国信息产业的《芯片法案》和《出口管制新规》进一步加码，从供应链上限制部分核心软硬件出口至中国。受地缘政治影响，部分外资企业关闭研发中心或工厂。

身处充满变数的乌卡时代（VUCA），无论是“俄乌冲突”带来的反思，还是美国遏制中国科技发展的这种局面，无不反复告诫我们：关键核心技术靠“拿来主义”终究是行不通的。我们必须要坚定地走自主可控之路，尤其是如何结合新一代信息技术的后发优势，在各行各业“大信创”叠加“数字化转型”的双轮驱动下，实现科技自立自强甚至换道超车，这也成为国内众多信创厂商长足发展最核心的竞争力和驱动力。

近日，一则中科院倪光南院士关于批评穿马甲的“伪信创”视频在坊间广为流传，且备受关注。

“穿马甲”，是指以购买等方式获取的非自身研发所拥有的技术，经过“加工”、“包装”后，以自主研发技术成果呈现的行为。2018年以来，中兴、华为等多家我国高科技企业被美国列入实体清单，更凸显出信息技术领域关键核心技术自主创新的紧迫性。但与此同时，我们也要对自主创新中穿马甲的“李鬼”事件予以高度重视，应充分意识到“穿马甲”危害的严重性和欺骗性，不仅会麻痹我们的斗志，使人错误地认为：“创新”如此简单，只需动动手复制粘贴、向外“乞讨”核心技术就能赶上风口。因此，我们采取更有利地针对性措施，绝不允许类似“打磨掉原产品标识印上自己标识的‘汉芯’事件”再次发生。

在信创产业发展的初期，很多企业为赶上信创风口，打着“自主创新”的幌子弄虚作假，将“拿来主义”作为“自主研发”，把某些不能自主可控的外国产品打扮成信创产品以谋取私利。比如曾引起广泛关注的：“基于开源软件修改研发的红芯浏览器、“木兰”语言、COS”，都是将国外已有的开源技术产品拿来或简单修改后，便宣称“完全自主”。

近年来，国产基础软硬件在国家信创政策的推动下，与实践相结合取得了长足进步。不同的技术路线和无数同类的软件产品，虽然给信创市场和产业生态带来充满竞争的勃勃生机，但同时存在着资源分散浪费、适配难度加大、内耗严重、无法形成合力等弊端。

当前，随着“大信创时代”的到来，这种开源领域的“穿马甲”现象又开始出现苗头。以国产数据库为例，目前大大小小、开源闭源的国产数据库产品有数百个之多。仅是国产关系型数据库厂商就已突破百家。相对于十多年前的寥寥数家，这些年国产数据库产业的发展的确迅猛，用野蛮生长描述也不为过。这些新兴的国产数据库厂商，不乏具有相当强大的自主创新基因，投入巨大，是真正在做数据库产业的公司。

不过，国产数据库虚假繁荣、乱象丛生的背后，也一定是泥沙俱下。原本就起步较晚，人才储备和资金投入都不太足的国产数据库产业，再被拆解为这么多的细小单位，每个独立个体的真实能力就很值得怀疑了。那么在技术基础薄弱，人才匮乏的情况下，为什么一下子能涌现出如此多的数据库企业和产品呢？从国产数据库的技术来源分析上我们就可以看出一些端倪了。dbaplus社群的一些数据库资深专家根据他们收集到的资料对当前国产数据库的技术来源进行了统计分析，并总结了两大问题。

问题一：以国产数据库为代表的国产软件代码自主率普遍不高。主管部门出台过一系列的自主代码率测评，但市面上大部分“国产”软件，代码自主率却并不高，甚至未参与过检测。

问题二：国产数据库大多基于开源数据库开发，只有少部分是完全自研的产品。相当比例的国产数据库大量使用了开源社区代码，其中基于MySQL和PostgreSQL的比例最高；某些软件厂商缺乏自主创新精神，主要基于OpenStack等开源技术体系进行二次开发，尚未完全实现核心代码的自主化；只是简单包装一下MySQL和PostgreSQL等单机数据库便自称为国产数据库；这些国产数据库打着开源旗号，实则是封装开源代码后便进行商业化产品包装，导致产品同质化严重，同时也有很大的安全隐患。试问这种“拿来主义”的国产数据库真的能弥补关键核心技术的空白吗？

中国工程院院士倪光南早在2019年就公开称：“为什么被别人卡脖子？主观原因是由于我们长期受到‘造不如买，买不如租’的思想，重硬轻软以及‘穿马甲’等问题的影响。倪光南认为，软件产业是中国增长最快的产业之一， 软件技术已渗透到几乎所有信息技术中，‘软件定义世界’是大势所趋。”因此，我们在软件方面应要厘清“自主”与“开源”的关系，明确对开源掌握到何种程度可称为“自主”，引导企业“理直气壮”参与发展开源。另外，“自主创新”要求应根据技术产业的进展适时调整。针对核心技术细分领域，制订客观科学的“自主可控”测评方法和指标，支持第三方对相关技术产品进行评估。此外，还应与质量测评、安全测评等同步，以客观、科学的多维度标准评估其软件自主可控程度，真正做到代码自主可控的软件产品才能算符合信创标准。

以大数据基础软件为例，国内除少数公司真正具有自主可控属性的产品外，市场上其他供应商基本均为国外开源大数据软件或国外商业大数据平台，包括Cloudera、Elastic、MongoDB、Neo4j等。多数企业更加重视上层应用场景，忽视底层基础创新，对大数据基础软件等相关新兴技术领域的核心技术研发和投入均重视不足，只会采用国外开源软件构建新的“应用大厦”，并不掌握其核心代码，往往会面临“旧领域追上来，新领域又落后”的发展风险。这些基于开源代码快速包装出来的马甲“信创产品”，如果今后继续在国产化替代市场大行其道，不仅无法彻底实现国产化替代，还会给我国的网络信息带来极大安全隐患。

我国网络信息安全面临着“三大痛点”，“防断供、关后门、堵漏洞”等核心自主安全能力，需要有自主安全、先进绿色的国产通用计算体系来支撑。信创作为网信安全底座，其重要性不言而喻。

开源技术在给全世界的开发者和用户带来开放、共享、便利的同时，也带来了包含技术风险、法律风险、供应链风险以及自主创新风险在内的四方面挑战。其中开源软件不断爆出的安全漏洞与恶意软件包植入，开源许可证冲突以及开源关键组件的瓶颈风险等，已成为全球范围内亟待解决的共性问题。对于中国而言，我们还要面临来自美国的开源技术供应商和服务商潜在的技术出口限制风险。因此中国开发者和用户急需建立全面的开源风险防范体系来迎接这些挑战。

2022年4月，美国中央情报局（CIA）专用的“蜂巢”恶意代码攻击控制平台被曝光。国家计算机病毒应急处理中心报告指出，只要包含美国公司提供的软硬件，就极有可能被内嵌各类的“后门程序”，从而成为美国政府网络攻击的目标。在当前国际环境复杂性不确定性加剧的背景下，一旦美国利用开源软件中的恶意代码、病毒、后门等对我国进行监视或攻击，将使我国网络信息安全遭受致命打击。

2022 年 5 月，美国商务部工业与安全局（ BIS）正式发布了针对网络安全领域的出口管制规定。根据新规要求，未经审批禁止向中国等D类国家和地区分享安全漏洞，而微软等美国互联网厂商反对无效。在美国新规落地的背景下，漏洞分享机制很大可能性将遭破坏。美国这样做，是基于自己的技术优势，他们或许认为自己未来发现漏洞不及时分享，可以率先利用漏洞向其他使用该软件的国家（包括中国）或者系统进行网络攻击或者窃取机密，也许只是延迟个把小时但却可能给我们造成重大损失。

目前国际上开源许可协议有80多种，这些开源许可协议在具体开源条款上存在较大差异甚至冲突，如果不认真分析和甄别，很容易陷入许可协议条款冲突引发的知识产权风险。一旦这些美国厂商的开源许可协议发生变更，中国客户或者应用开发商往往需要付出更高成本获得新版本，这不仅进一步降低了国内厂商使用开源技术的利润水平，也带来了更多断供的可能性。国外一些领先的大数据公司如曾开源的美国MongoDB、Elastic近年来都变更了开源许可证，要求第三方在售卖其软件时需获得其授权并付费，Cloudera和Databricks目前也在开始推行这一模式。

此外，按照美国出口管制条例的规定，所有“公开可获得”的源代码(不含加密软件以及带加密功能的其他开源软件)，都是不被出口管制的，而“公开可获得”的带加密功能的源代码，虽不会被限制出口，但需登记备案。这就意味着，如果一个开源项目或开源组织声明遵从美国的出口管制条例，此时一旦美国修改条例，将一些核心基础软件加入到管制中，那么大量核心开源项目将受到出口管制。

另外，美国出口管制条例还规定软件商需要得到政府许可后方可出口安全模块。即使中国企业拿到所谓源代码，也是被“阉割”版本，“后门”依旧被美国掌控。阿帕奇官网显示，安全模块的出口受美国限制，开源代码其实没有安全模块。不知道大家是否还记得2019年底，国外网络安全研究人员发现的开源Elasticsearch 数据库漏洞。当时泄露了包括 27 亿个电子邮件地址，其中 10 亿个密码都是以简单的明文存储。据悉，大多数被盗邮件域名来自中国邮件提供商，涵盖腾讯、新浪、搜狐和网易等。Elasticsearch数据泄露发生的主要原因，在于Elasticsearch开源版本不具备任何数据保护功能，只有基本的攻击保护防火墙功能。如果软件开发商继续基于这种缺少安全模块的开源代码进行国产软件的研发，势必会给我国的网络安全带来极大风险和隐患。

近年来，开源软件供应链“卡脖子”事件频频发生，加之俄乌冲突蔓延到开源领域，粉碎了“开源无国界”的假象，也给中国敲响了警钟，开源软件供应链安全问题值得深思。再有，我国主流开源社区仍不成熟，开源软件大多仍由西方国家主导，依赖度高，一定程度上面临“受制于人”的困境。而开源软件由于生态开放，存在着大量的安全漏洞等风险，一旦被恶意利用，国内关键信息基础设施安全将是建立在沙滩上的城堡，面临着“平时被控、战时被瘫”的现实风险。

同时，国内软件开发虽然正在快速发展，但是尚未形成具有国际影响力的自主开源项目，我国银行、能源、国防、医疗、电力等关键基础设施行业运行的系统，大量使用的仍是国际开源软件，一旦面临极端情况，也会存在“受制于人”的情况。因此，在当前如火如荼的大信创时代，我们一定要防范这种披着马甲的“伪信创”，即便通过开源获得了源代码也不能保证其“真信创”，更无法保证“真安全”。

随着国家网络空间安全战略、《网络安全法》、《数据安全法》《网络安全审查办法》、《网络安全等级保护2.0制度》、《关键信息基础设施保护条例》相继出台，我国现已从制度、管理、系统防护、供应链上下游数据流动等方面，形成了安全行为准则的完整政策导向。

今年10月12日，市场监管总局（标准委）发布公告，批准首部关基国家标准——GB/T 39204 2022《信息安全技术 关键信息基础设施安全保护要求》正式发布，并将于2023年5月1日实施。《要求》的正式发布，标志着绸缪8年的关键信息基础设施安全保护工作正式拉开帷幕。

此次《要求》新增了“供应链安全保护”的章节。《要求》中对于供应链安全保护，主要是对供应链安全管理的策略和制度、采购国家检测认证的设备和产品、同时在相关责任和义务方面明确相关承诺和要求。尤其提到“应建立和维护合格供应方目录。应选择有保障的供应方，防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。”“应自行或委托第三方网络安全服务机构对定制开发的软件进行源代码安全检测，或由供应方提供第三方网络安全服务机构出具的代码安全检测报告。”

不难发现，这与去年颁布的《关键信息基础设施安全保护条例》中，提到的“运营者应当优先采购安全可信的网络产品和服务”是相辅相成的。而《网络安全审查办法》中，也明确规定了“关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险”。

另外，金融监管部门也率先制定了《关于规范金融业开源技术应用与发展的意见》：若运营者是金融机构，其在使用开源软件时应坚持安全可控和合规使用，包括应当在采购前开展事前技术评估和安全评估，堵塞安全漏洞，切实保证技术可持续和供应链安全；应当遵循开源技术相关法律和许可要求。

前不久，全国信安标委发布的《信息安全技术 软件供应链安全要求》（征求意见稿）中，对使用开源软件进行了详细规范，明确要求采购开源软件时应考虑软件供应链安全；同时，建议关基运营者对采购软件进行自研代码率测评，以便确定所采购软件中的开源部分及第三方软件。在此基础上，还建议运营者对来源于开放源代码社区和第三方的代码、组件和软件，进行完整性验证、安全性测试和依赖关系分析，保障开源或第三方组件来源可靠、安全风险可消除或控制。

在数字经济加快发展下，我国的数字产业也在探索“换道超车”模式。我国的数字技术应用突破，目前大部分来自互联网应用，如电子商务、视频、移动通信等应用领域。但在分布式数据库、大数据基础软件等基础软件核心技术掌控力度仍然不够。

虽然从国家层面，近年来不断加大“国产化替代”力度，但目前资源更多地是导向一些传统信息技术替代，如操作系统、集中式关系型数据库等传统基础软件领域，基于新一代技术创新的替代并不多。

在“分布式”、“云大物智链”等“新赛道”，许多企业仍奉行“拿来主义”。拿来主义会导致永远落后于人，落后就会挨打。特别是在国外用最新技术制约中国时，我们就极易处于被动局面。当前，看似轰轰烈烈的国产化替代，其实更多的是国外传统技术和产品的替代。如果长此以往会进入新的怪圈：即国家大量资源投入到传统技术的研发和替代，而美日欧等技术强国却在不断发展新兴技术。我们始终无法用老技术去抗衡新技术，极易导致永远跟随美日欧技术强国的步伐，永远比它们慢半拍。

未来的竞争是基于新兴尖端技术间的竞争，而不是老技术与新技术间的竞争。因此，我们掌握自主核心技术的同时，更应及时跟踪和研究新一代信息技术，抓住技术更新换代的契机，利用国产新技术的突破替换国外老技术，满足信创要求的同时，完成行业数字化转型升级，最终实现“换道超车”。

从原子弹、氢弹再到导弹，从胰岛素到青蒿素，从航空航天再到新一代通讯技术，以往的无数事实证明，在信息技术应用创新领域，我们需要也完全可以“换道超车”，原因在于：

• 在原有车道上，竞争对手有优势，那么中国就扬长避短，开辟新赛道，占据先发优势，或者双方站在同一起跑线去竞争。这样一来，中国就能打破美国制定的规则，成为新市场的开拓者、新规则的制定者、新标准的引领者。从而达到事半功倍的效果。现在，中国越来越多的行业出现“换道超车”的先行者。国际经验证明，由技术、人才、资本形成的创新壁垒一旦被打破，后发国家将能够和发达国家站在同一起跑线上。

• 中国具有制度优势，能够依靠举国体制参与国际竞争。当我国运用国家资源、集聚人才和各方力量实施全国一盘棋的运作，将是跨国公司和个人所无法相抗衡的，竞争对手毫无胜算的可能。

当前，国内关键领域核心技术发展仍面临瓶颈，对国内供应链自主可控产生巨大影响。在新技术不断涌现之际，我们应不断推动技术创新，通过“换道超车”，在新的领域和国际巨头重新竞赛，把核心技术牢牢把握在自己手里，才能实现全球领先。如果还是集中在替换老技术上，终究会在技术变革中被淘汰。

以数据库领域为例，目前大众关注点依旧聚焦在传统集中式数据库替代（如Oracle等）。但在国外，技术已发展到下一阶段——新兴分布式数据库已替代传统集中式数据库。国外新兴大数据技术公司的共同特点是：营收规模或许暂不如传统数据库公司，但通过采用新技术不断寻求突破创新，其市值大都与上一代集中式数据库上市公司（如Oracle\Teradata等）相当，有些甚至已超越。

笔者认为，“换道超车”在某种意义上也可视作是我们信创长征路的“道路创新”。回顾中国改革开放40多年来的发展历程，就是一个探索、试错，摸着石头过河的“新长征路”，而信息技术应用创新的“换道超车”何尝不是这样！而且，现在它已被无数实践证明，是中国未来科技创新的一条行之有效的成功之路。