開源作業系統和CPU並不等於自主可控

2021-01-11 鐵流

此前,一位網友提問,既然要建中國版Wintel,為何不用自主CPU+自主作業系統,而是用自主CPU+Linux呢?

鐵流的回覆是,如果有內核全部自主開發的作業系統,那自然是好的,但現在的問題是沒有自主內核的作業系統,因而只能退而求其次,選擇Linux了。

這位網友認為,Linux本質上說也是"舶來品",雖然是開源的,但國內公司貢獻的代碼相對有限,做的也主要是"換皮"這類工作,Linux主要還是洋人在維護,Linux與自主可控並不天然劃等號。

從實踐上看,Linux存在諸多漏洞,以下內容根據公開消息整理:

CVE-2018-17182,這是Linux內存管理子系統中的緩存失效錯誤,導致釋放後使用漏洞,如果被利用,可能允許攻擊者獲得目標系統root權限。

CVE-2018-18344,這個漏洞源於timer_create系統調用的實現沒有正確地驗證sigevent->sigev_notify欄位。攻擊者可利用該漏洞讀取任意的內核內存。

CVE-2017-2636,該漏洞在Linux內核已經存在7年了,它能夠讓本地無權限的用戶獲取root權限,或者發動DDoS讓系統崩潰。

CVE-2016-5195,也就是髒牛漏洞,這是一個非常低級的漏洞,但非常難以置信的是,在Linux內核中已經有長達9年的時間。這個漏洞可以讓Linux內核的內存子系統在處理寫入時複製時產生race condition,惡意用戶可利用此漏洞,來獲取高權限,對只讀內存映射進行寫訪問。安全專家Phil Oester稱發現一名攻擊者利用該漏洞部署攻擊,並向Red Hat通報了最近的攻擊事件。

CVE-2016-0728,該漏洞是Linux系統內核中一個高危級別的本地權限提升0day漏洞,曾經有66%的安卓手機和1000萬Linux PC和伺服器都受到這項內存洩露漏洞的影響。

CVE-2018-16864、CVE-2018-16865、CVE-2018-16866,CVE-2018-16864和CVE-2018-16865是內存損壞漏洞,CVE-2018-16866是信息洩露漏洞。

在某年的USENIX安全會議上,美國加州大學河濱分校和美國陸軍實驗室的研究人員介紹了Linux的一個高危漏洞,並表示如果通信交換的過程不是加密的,那麼該TCP / IP網絡漏洞可以導致攻擊者識別兩個實體間的通信,從而進行流量劫持以及其他操作。另外,這種攻擊並不是中間人攻擊,攻擊者只需要知道其ip地址和目標埠,然後發送欺騙性的數據包到兩端即可。

......

誠然,由於Linux開源狀態下,全球安全研究人員都可以進行審查,使其"相對透明","相對安全",但連續不斷被發現存在漏洞,也說明開源軟體並不等於無懈可擊。

由於Linux的代碼大部分都是洋人寫的,且代碼審核的權限絕大部分不在中國人手裡,以及國內諸多Linux作業系統公司實力有限,所做的工作並非是自建內核,或從內核搭建的系統,而是修改別人的發行版(Fedora、Debian),也就是不少網友調侃的"換皮"。

即便將Linux內核視為"無懈可擊",這種"換皮"的做法依然存在一定風險了,因為從內核變成系統的過程中有太多風險,很多東西可以混進去。

另外,目前,Intel、紅帽等美國科技公司擁有較高的代碼貢獻率,而西方科技公司一貫有配合美國情報部門的傳統——這一點,斯諾登已經在稜鏡事件中披露了。

因此,不排除西方科技公司在貢獻Linux代碼的時候,事先就植入了後門(這些後門被發現後就稱為漏洞)。甚至,不排除一些Linux代碼貢獻者本身就是CIA、FBI的特工。

這就導致即便Linux開源,也無法保證國產Linux作業系統的代碼中不存在西方科技公司事先埋入後門的可能性。

鐵流認為,目前國內一些把Linux、Risc-V開源等同於自主可控的觀點,有一點過了。

具體來說,如果上基於Risc-V自主設計的CPU,核心IP全部自己寫,OS和應用軟體全部自己寫,那麼,說自主可控到也說得通。但如果只是從洋人手裡"拿"一個所謂的開源Risc-V內核自己設計SoC,那麼,鼓吹自主可控就值得商榷的。

類似的,如果能夠把Linux徹底吃透,並且能夠類似於安卓那樣另起爐灶,即便將來川普制裁(假設西方唯川普指揮棒是從),國內Linux廠商也能擺脫國外技術支持自己走下去。那麼,說國產Liunx作業系統自主可控也行。

但如果是處於現在的狀態,主要工作集中在"換皮",無法吃透Linux的所有細節,也沒法自己獨立走下去,那麼,談自主可控就有瑕疵了。

一位朋友認為,國產Linux其實和合資OS是類似的,大家都是技術引進,都是從洋人那裡"拿"源碼,誰也不比誰天然高一等。關鍵在於能否形成能力和實現消化吸收再創新——國內廠商能不能把源碼吃透?能不能實現"青出於藍而勝於藍"。

比如國產Linux能否基於Linux進行發展,擺脫國外技術的依賴,走一條自己的路?

又比如合資OS能否實現消化吸收,並完善發展支持自主CPU?

總而言之,不能因為Linux、Risc-V打了開源標籤,就天然認為其符合自主可控,就技術引進項目來說,開源與否並非考量的關鍵,研發能力和能否實現"青出於藍而勝於藍"才是重要考量指標。

相關焦點

  • 自主作業系統的必要性
    說到手機作業系統,群雄逐鹿的時代已經過去,曾經的塞班、WP、黑莓等已然沉寂與消失。目前已到了兩雄爭霸的階段:iOS 和 Android,這兩大作業系統的全球市場份額總計達 99%。但是根據2012年與谷歌籤訂的協議,安卓會持續免費開源五年的時間,雖然目前時間已過,且依然沒有收費的跡象。但是商業公司畢竟是商業公司,利益是第一位的,當收費帶來的利益大於免費帶來的利益時,那麼收費幾乎是必然的。而到了那時,對於我們消費者而言,系統的費用自然也是我們承擔。若想不受制於人,完全自主可控的作業系統必不可少。
  • 專訪王穎澤:國產資料庫開源之路如何可控?
    「可控」成為公眾對中國造的希望,開源面臨的授權問題成為一顆懸在國產廠商頭頂的達摩克利斯之劍。在資料庫領域,不少國產廠商都有自己的想法和理解。其中,天曦科技很早之前就曾提出希望開創一條基於開源可控的國產資料庫之路。在如今這個時代背景下,我們應該如何正確理解開源可控的含義?這條路應該如何走?終點又是什麼呢?與國際一線大廠相比,國產資料庫廠商的生存現狀如何?面臨的痛點有哪些呢?
  • 中國自主可控行業全景圖
    5.核心零部件——作業系統OS我國自主可控國產作業系統大都以Linux開源作業系統為基礎,正不斷縮小與Windows 作業系統的差距,且由於支持國密算法和可信計算技術,在安全性方面優於Windows作業系統,目前國內作業系統廠商可以掌握Linux原始碼,支持龍芯、申威等國產CPU,
  • 阿里雲物聯網作業系統AliOS Things,獲評中國優秀開源項目
    12月30日,由阿里雲AIoT推出的物聯網作業系統AliOS Things再度拿下重要榮譽,由中國開源雲聯盟舉辦的《第十屆中國雲計算標準和應用大會》上,AliOS Things 入選中國優秀開源項目。據了解,中國開源雲聯盟(COSCL)成立於2012年8月,是我國最頂級開源組織之一,現有我國180餘家開源生態圈產、學、研、用成員單位,致力於聯合國內開源產業界相關方,在中國共同推動開源生態系統搭建、技術社區建設、開源項目培育、開源團體標準研製、開源技術推廣應用等工作。
  • 國產瀏覽器遭「換膚」質疑,業內發聲:自主可控存疑
    8月15日,國產瀏覽器公司紅芯宣布基於自主可控的瀏覽器核心技術完成2.5億元融資。當天下午有網友發布「解壓紅芯瀏覽器執行文件」的動圖,顯示多次解壓後的文件有「Chrome」(谷歌瀏覽器)字樣,認為紅芯只是一個「換膚版」瀏覽器,並非自主創新。
  • ATM搭載國產作業系統,自主可控水平又上新臺階!這家銀行2017年底曾...
    大數據時代信息安全已經被提升到前所未有的高度,客戶信息、金融數據等關鍵資料的安全保密工作也愈發重要,銀行業作業系統國產化進程迫在眉睫。從今年起,江蘇銀行新採購的ATM已全部採用國產化作業系統,在安全、穩定和便捷等方面又上新臺階。  "操作和原來相比更流暢了,聽說是國產化作業系統,用起來更放心!"前來江蘇銀行網點取款的客戶在使用ATM後感嘆道。
  • 華為考慮與俄羅斯開源作業系統 Aurora 進行深度研發合作
    援引 The Bell 網站 6 月 12 日消息,俄羅斯數字發展、通信和大眾傳媒部部長康斯坦丁·諾斯科夫與華為輪值董事長郭平討論了在華為設備上使用極光作業系統的可能性,俄羅斯電信運營商 Rostelecom
  • 華為:伺服器作業系統EulerOS和資料庫GaussDB宣布開源
    藍鯨TMT頻道9月19日訊,今日,華為在第四屆華為全聯接大會期間宣布,華為伺服器作業系統EulerOS和資料庫作業系統Gauss開源。華為Cloud&AI產品與服務總裁侯金龍還透露,華為正在與中標紅旗、武漢深之度等公司籌備開源社區,並將在12月31號之前上線。
  • 贊同科技亮相2019中國國際金融展 自主行業終端作業系統Agree ROM...
    此次金融展以「科技助創新、開放促改革、發展惠民生」為主題,設有「金融服務」和「金融科技」兩大展區。作為國內領先的金融IT科技企業,贊同科技首次參展本次金融展,展示了公司全能力一體化智慧金融渠道解決方案。
  • 五萬字收藏版|中國計算機行業自主可控全解讀(正文篇2)
    龍芯特點在於指令集也是自主設計。由於目前軟體生態貧乏與產業聯盟弱小,2016年龍芯將GS132和GS232兩款CPU核向高校和學術界開源,致力於建立起產業生態,豐富龍芯的軟體生態和產業鏈。產業鏈關鍵環節之作業系統OS8.1 Linux作業系統發展史,國產自主可控作業系統的底層開源技術基礎全球目前最具代表性的作業系統有Windows、Unix和Linux、VxWorks、Android、iOS以及MacOS等,其中微軟在作業系統市場仍然佔據統治地位,Linux憑藉免費與開源的特性在伺服器和嵌入式系統市場上成為主流的作業系統之一
  • 發展國產作業系統,要從內核寫起嗎?Deepin屬於國產作業系統嗎?
    要明白什麼是國產系統國產的核心目標是:自主可控。因此只要是一個作業系統能滿足這一核心目標,就能算作是國產作業系統。關鍵錢還不是最大的問題,比如微軟就曾數次進入手機作業系統,但都均以失敗而告終,不是缺錢,也不是缺人,而是在生態(兼容)上幹不過iOS和安卓。
  • 完全實現自主可控 介方信息發布國產軟體無線電作業系統(SCA)
    而實現這些高端智能化設備應用的基礎條件則是該領域內底層框架級作業系統的研發,同時其也是裝備能力提升和信息化的必要因素。  國務院《新時期促進集成電路產業和軟體產業高質量發展若干政策》也說明了國家對軟體產業未來發展將會給予持續地支持,對整個產業,尤其是針對那些關鍵和卡脖子的技術領域,傳遞出了國家的信心和一定要做出來的決心。
  • 用友NC Cloud完成銀河麒麟兼容性認證,支持企業自主可控
    近日,用友網絡科技股份有限公司的用友NC Cloud產品與天津麒麟信息技術有限公司的銀河麒麟桌面作業系統V4,銀河麟伺服器作業系統V4完成了兼容性互認證測試。測試可表明,用友NC Cloud在國產作業系統上功能兼容性良好,完全支持企業自主可控。同時,用友NC6.5也獲得了此產品認證。
  • 開放合作、協同創新,共同譜寫中國作業系統發展的新篇章
    當前,人機物融合泛在計算的新時代正在開啟,萬物互聯、軟體定義無疑將帶來新需求、新藍海,當然,也會帶來新挑戰,是否又將可能催生一個新型作業系統生態發展的新20年?這是可以期待的態勢,也是值得努力的方向!從國家安全和產業安全的視角,追求核心關鍵技術領域的自主可控一直是我們努力的目標。作業系統和CPU是計算機系統的核心,也是產業生態的核心,更是資訊時代安全的基石,無疑屬於核心關鍵技術領域。
  • 專訪深度科技公司總經理劉聞歡:因理想而生的國產作業系統
    龍芯和申威的指令集和編譯器長期只對體制內核心合作單位開放的,但這一次龍芯、申威作為深度作業系統的合作夥伴,將發布面向開源社區的開放計劃。 最後,深度將宣布下一個階段的開源社區建設計劃,包括新成立的開源社區部,新的開源協助門戶,以及與上遊社區以及其他社區交流的規劃。 觀察者網:想必很多人都是第一次聽說深度作業系統,能做一個自我介紹麼?
  • 印表機紛紛做適配 國產作業系統或迎來春天?
    統信官網顯示,統信UOS作業系統是以debian Linux為內核,技術統一、自主可控的自研作業系統;支持x86、龍芯、申威、鯤鵬、飛騰、兆芯等國產CPU平臺,並獲得工信部測試認證;分為桌面版和伺服器版兩款,桌面版面向普通娛樂、辦公、影音用戶,伺服器版面向黨政軍信息敏感領域。
  • 自主可控成為戰略主線
    當前位置,就圖表上看,得到本輪升幅50%位置、120日均線和250日均線的支撐。不過,2月25日的缺口(2804-2838點)沒有回補,本周一觸碰2838點,如果能夠去補一補,市場心理就會踏實許多。值得注意的是,創業板指數已回補。總之,眾多利空打擊而不再下跌,這是當前最大的特徵。此時,要關注的是成交量是不是不再萎縮,指數是不是真的拒絕下行。
  • CAXA CAD與國產作業系統全面適配
    近日,數碼大方的CAXA CAD電子圖板2020與中科方德的方德桌面作業系統V3.1完成產品兼容性互認證,雙方聯合測試得出結論,方德桌面作業系統V3.1與CAXA CAD電子圖板2020完全兼容,整體運行穩定,在功能、性能及兼容性方面表現良好。
  • 第七屆開源作業系統年度技術會議(OS2ATC)盛大開幕,從編譯器到軟體...
    教育部國產基礎軟體工程研究中心主任、鵬城實驗室鵬城生態項目負責人吳慶波和北京飛漫軟體技術有限公司CEO、HybridOS作業系統開源協作項目發起人魏永明擔任大會主席,清華大學計算機系長聘副教授、博導陳渝和鑑釋科技CEO&聯合創始人梁宇寧擔任組委會。本次大會邀請40多位國內外一線的作業系統專家和行業領袖,圍繞開源作業系統、編譯器、全棧系統、晶片等技術熱點展開討論。
  • 瀏覽器專家:自主研發等於半個 Windows 代碼量,少有人動內核
    自主研發的困難在哪裡?……對於瀏覽器的相關技術問題,新浪科技專訪了360 PC瀏覽器事業部總經理梁志輝。我國自主研發瀏覽器有何困難?據悉,谷歌Chrome瀏覽器除了正式發布的Chrome版本外,尚有一個Chromium項目,供開發者開源使用。