证券时报记者 严翠
华为被制裁后,举国上下开始加大对操作系统的重视与投入,华为开始推出自研操作系统鸿蒙,其他手机、家电、电信运营商等各行业企业也都陆续推出了自研操作系统。
从操作系统内核来看,目前国产操作系统均基于Linux内核,这是一组全球开源的代码,任何个人和机构都可以使用它,但开源内核是否意味着完全无供应链安全风险?
事实上,开源不等于无国界,依旧存在被管制的风险,开源的核心要素包括开源基金会、开源协议、开源代码托管平台、开源项目。
基金会层面,世界最大的开源基金会Apache曾明确宣布遵守美国《出口管制条例》(EAR),但Linux基金会明确其自身管理办法不受EAR管制,因而未作特殊声明的话,其项目不用遵守EAR出口管制,因此目前来看,国内基于Linux内核打造的操作系统供应链安全风险较低。
但是,历史上,全球已发生的Windows7停服、CentOS(美国红帽公司基于Linux内核的100%免费操作系统)停服事件表明,仅仅基于开源代码打造操作系统,不参与后续社区建设等,仍存在较大的安全和迭代风险。
据了解,对于用户来讲,CentOS停服后将无法得到官方的系统升级和补丁安装支持,一旦出现新的安全漏洞并被黑客利用,将带来宕机、服务中断、数据泄露等风险,网络安全风险陡增。
“如果只是拿别人贡献的代码来用,相当于直接去摘桃子,在这种情况下,当想要去对软件进行改良的时候,发现做不到,卡脖子的风险、应用的风险和安全的风险都叠加在自己身上。”中国开源软件推进联盟副秘书长宋可曾对媒体表示,“卡脖子”的风险并不在于操作系统是否基于开源代码开发的,而是取决于对开源代码社区的贡献程度以及对开源软件游戏规则的掌握程度。
因此,构建中国主导的根社区,让国内操作系统企业参与到开源社区中去,从一个使用者变成参与者,从参与者变成主导者,进而提升国产操作系统的话语权和地位,乃我国实现自主可控必经之路,也是我国网络空间安全发展的必然要求。
正是基于这样的趋势,现阶段,国内开源社区发展迅速,2019年9月,华为宣布服务器操作系统EulerOS开源,欧拉系统openEuler开源社区同步上线,华为是社区发起人和欧拉版本操作系统的主要贡献者;今年5月,统信软件宣布打造首个中国桌面操作系统根社区deepin;今年6月,麒麟软件宣布成立中国桌面操作系统根社区openKylin。
“道阻且长,行则将至。”亿欧曾如此形容国内操作系统的发展。