Categories
程式開發

源代碼審查能否成為國際慣例?


最近聽說,TikTok向澳大利亞政府表示,將允許澳政府官員審查其算法並測試源代碼,這也在網上引起了熱議。以此為契機,我想站在中國的立場上,談談開放源代碼審查這件事的來龍去脈,從現狀、風險和收益幾個方面分析一下,看看它對我們到底是福還是禍。

我們先來看看現狀。開放源代碼給所在國政府審查這事兒,究竟有行業先例呢,還是無理要求呢?

事實上,早在2003年,全球軟件業的巨無霸微軟,就與中國信息安全測評中心簽署了“政府安全計劃”,中國也成為全球首批參與此計劃的國家之一。 2014年7月,微軟主動增強了“政府安全計劃”,允許簽約方訪問在北京的“微軟技術透明中心”並查看及測試微軟產品和服務的源代碼。而隨著Windows 10政府版的落地,更是可以看出這種代碼審查的正朝著良性互動的方向發展。在微軟的示範作用下,IBM也通過與世紀互聯合作,在中國提供其Bluemix雲計算平台,並開放其源代碼審查。

在中國企業走出去的過程中,這樣的代碼審查也早有先例。在英國、澳大利亞等國,華為都已經建立了安全評估中心,提供100%的源代碼接受政府的審查,以應對部分持敵意者拋出的“軍方背景論”。客觀地說,這也是華為在歐洲等地區能夠順利發展壯大的重要原因之一。

在與中國無關的市場上,這樣的事而也屢見不鮮。比如,思科、IBM和SAP等歐美科技公司,正接受俄羅斯政府的要求,使其可以獲得嚴格保密的產品源代碼,以應對俄羅斯對其從事黑客活動的指控。而俄羅斯的卡巴斯基殺毒軟件,也推出了一項全球透明度計劃,從2018年第一季度開始,將軟件源代碼提交給更廣泛的信息安全社區和其他利益相關者進行獨立審查,以表明企業和任何間諜行為無關。

因此,從大背景來看,隨著各國政府對信息安全和數據國境越來越重視,向政府開放代碼審查,提供數據保護,已經成為不可避免的大趨勢。

那麼我們再來看看,TikTok向澳洲政府開放源代碼審查,有沒有什麼嚴重的風險呢?

首先,TikTok雖然被稱為“海外版抖音”,可是實際上,它們根本就是不同的兩款應用。二者的用戶和數據,體係也完全不相通,只是產品形態和界面有些相似罷了。根據TikTok全球首席安全官羅蘭·克勞蒂爾(Roland Cloutier)的說法,TikTok使用的源代碼與中國國內的抖音源代碼並不相同。因此,擔心開放TikTok源碼會對國內的抖音產品安全性帶來威脅,有點杞人憂天了。

另外,值得特別提醒,這裡所說的“開放源代碼審查”,只是針對各國的相關政府部門,而非對商業公司或其他機構。在審查的方式上,是有資質的政府人員訪問TikTok公司在美國洛杉磯的透明與問責中心,或通過虛擬參觀的方式來審查算法並測試源代碼,而並不能將源代碼帶走或修改。當然,如果澳洲政府能找個過目不忘的天才,把源代碼一行不落地都背下來,回家再原樣默寫一遍,那算我沒說。

其實,就算是真有人能默寫出來,也只不過是一項行為藝術罷了。做過互聯網的朋友,可能都或多或少有點概念:對這樣的內容性產品來說,算法固然重要,但遠遠不如龐大的用戶生態和豐富的數據更有價值。沒有了數據,推薦算法毫無用戶之地。以為學會源代碼就想複製一個TikTok,也就好比你帶上了手套和護牙膠,就跳上拳擊台準備和泰森一決雌雄一樣可笑。

反而是微軟向各國政府開放審查的Windows源代碼,倒真是他的命根子。多少操作系統秘而不宣的武林秘籍,都可以在代碼裡一覽無餘。理論上講,你只要把代碼編譯出來,手上就是活色生香剛出爐的Windows,跟從微軟哪裡買到的正版,除了少個包裝盒以外,沒有任何差別。就算不是整體編譯,找個高手瞧一瞧內核裡的關鍵代碼段,可能也能瞬間解決許多操作系統研發中過不去的坎兒。

於是,微軟都還沒擔心,TikTok用得著擔心麼?說句文言,這不是皇上不急太監急麼?

所以依我的看法,及時向外國政府開放源代碼審查,風險也相當有限,大可不必過於擔心。不過,也許或有網友質問我,沒有多大風險就要開放麼?這不就認慫了麼?這倒是問出了我想說的關鍵:從目前的博弈局面來看,TikTok開放源代碼審查,未必不是一件好事。

這話怎麼說的呢?大家要認清這樣的現實:在目前全世界的軟件和互聯網產業中,美國還是一騎絕塵的老大,大多數具有全球影響的軟件和網絡產品,都還是美國人的天下。雖然微軟的Windows、IBM等少數企業向中國開放了源代碼審查,可是還有很多大家耳熟能詳的產品,比如Office、iOS、Oracle等等,並沒有開放。也就是說,在這些軟件和系統中,理論上說,還存在著惡意代碼或者留有後門的可能性。

大家想想,中國有多少人在用iPhone手機?有多少台電腦上裝有Office?有多少銀行的核心系統完全依賴Oracle?而這些軟件在背後做了些什麼,我們都是一無所知的。所謂防人之心不可無,這樣的現狀,細想起來還是讓人背後有一絲涼意的。

中國雖然有少數幾個產品引起了美國人的注意,可是在這樣的博弈局面下,其實還是光腳不怕穿鞋的。換句話說,如果中美之間能夠達成這樣的一種妥協:互相向對方政府開放源代碼審查的權利,那麼從信息安全的角度來看,受益者當然是中方無疑。

也就是說,開放源代碼審查,從大方向上看,是符合中國利益的。雖然上面說的妥協顯然不可能順利達成,但是我們沒有理由拒絕局面朝著這個方向發展。所以,反而應該利用好這次契機,在嚴格的安全保護機制下,向有關政府開放源代碼審查的同時,堅決主張對那些在中國擁有大量個人或企業用戶的外國軟件和網絡服務,也用對等的方式向中國政府開放源代碼審查權力。

這麼看下來,TikTok開放源代碼審查,雖然在網絡上一石激起了千層浪,可是冷靜下來分析一下,我認為一則不必過於擔心,二則很可能反而是個有利的機會。希望國家有關部門利用此次契機行動起來,在此案例的基礎上,探索全球通用的軟件安全審查模式,用制度化的方式打破跨國巨頭們在中國的代碼和信息壟斷,一勞永逸地解決數字國境上的安全問題。

作者介紹

北冥乘海生,清華大學信息與通信工程博士、《計算廣告》作者。

本文轉載自知乎

原文鏈接

源代碼審查能否成為國際慣例?