开源操作系统和CPU并不等于自主可控

此前，一位网友提问，既然要建中国版Wintel，为何不用自主CPU+自主操作系统，而是用自主CPU+Linux呢？

铁流的回复是，如果有内核全部自主开发的操作系统，那自然是好的，但现在的问题是没有自主内核的操作系统，因而只能退而求其次，选择Linux了。

这位网友认为，Linux本质上说也是"舶来品"，虽然是开源的，但国内公司贡献的代码相对有限，做的也主要是"换皮"这类工作，Linux主要还是洋人在维护，Linux与自主可控并不天然划等号。

从实践上看，Linux存在诸多漏洞，以下内容根据公开消息整理：

CVE-2018-17182，这是Linux内存管理子系统中的缓存失效错误，导致释放后使用漏洞，如果被利用，可能允许攻击者获得目标系统root权限。

CVE-2018-18344，这个漏洞源于timer_create系统调用的实现没有正确地验证sigevent->sigev_notify字段。攻击者可利用该漏洞读取任意的内核内存。

CVE-2017-2636，该漏洞在Linux内核已经存在7年了，它能够让本地无权限的用户获取root权限，或者发动DDoS让系统崩溃。

CVE-2016-5195，也就是脏牛漏洞，这是一个非常低级的漏洞，但非常难以置信的是，在Linux内核中已经有长达9年的时间。这个漏洞可以让Linux内核的内存子系统在处理写入时复制时产生race condition，恶意用户可利用此漏洞，来获取高权限，对只读内存映射进行写访问。安全专家Phil Oester称发现一名攻击者利用该漏洞部署攻击，并向Red Hat通报了最近的攻击事件。

CVE-2016-0728，该漏洞是Linux系统内核中一个高危级别的本地权限提升0day漏洞，曾经有66%的安卓手机和1000万Linux PC和服务器都受到这项内存泄露漏洞的影响。

CVE-2018-16864、CVE-2018-16865、CVE-2018-16866，CVE-2018-16864和CVE-2018-16865是内存损坏漏洞，CVE-2018-16866是信息泄露漏洞。

在某年的USENIX安全会议上，美国加州大学河滨分校和美国陆军实验室的研究人员介绍了Linux的一个高危漏洞，并表示如果通信交换的过程不是加密的，那么该TCP / IP网络漏洞可以导致攻击者识别两个实体间的通信，从而进行流量劫持以及其他操作。另外，这种攻击并不是中间人攻击，攻击者只需要知道其ip地址和目标端口，然后发送欺骗性的数据包到两端即可。

......

诚然，由于Linux开源状态下，全球安全研究人员都可以进行审查，使其"相对透明"，"相对安全"，但连续不断被发现存在漏洞，也说明开源软件并不等于无懈可击。

由于Linux的代码大部分都是洋人写的，且代码审核的权限绝大部分不在中国人手里，以及国内诸多Linux操作系统公司实力有限，所做的工作并非是自建内核，或从内核搭建的系统，而是修改别人的发行版（Fedora、Debian），也就是不少网友调侃的"换皮"。

即便将Linux内核视为"无懈可击"，这种"换皮"的做法依然存在一定风险了，因为从内核变成系统的过程中有太多风险，很多东西可以混进去。

另外，目前，Intel、红帽等美国科技公司拥有较高的代码贡献率，而西方科技公司一贯有配合美国情报部门的传统——这一点，斯诺登已经在棱镜事件中披露了。

因此，不排除西方科技公司在贡献Linux代码的时候，事先就植入了后门（这些后门被发现后就称为漏洞）。甚至，不排除一些Linux代码贡献者本身就是CIA、FBI的特工。

这就导致即便Linux开源，也无法保证国产Linux操作系统的代码中不存在西方科技公司事先埋入后门的可能性。

铁流认为，目前国内一些把Linux、Risc-V开源等同于自主可控的观点，有一点过了。

具体来说，如果上基于Risc-V自主设计的CPU，核心IP全部自己写，OS和应用软件全部自己写，那么，说自主可控到也说得通。但如果只是从洋人手里"拿"一个所谓的开源Risc-V内核自己设计SoC，那么，鼓吹自主可控就值得商榷的。

类似的，如果能够把Linux彻底吃透，并且能够类似于安卓那样另起炉灶，即便将来川普制裁（假设西方唯川普指挥棒是从），国内Linux厂商也能摆脱国外技术支持自己走下去。那么，说国产Liunx操作系统自主可控也行。

但如果是处于现在的状态，主要工作集中在"换皮"，无法吃透Linux的所有细节，也没法自己独立走下去，那么，谈自主可控就有瑕疵了。

一位朋友认为，国产Linux其实和合资OS是类似的，大家都是技术引进，都是从洋人那里"拿"源码，谁也不比谁天然高一等。关键在于能否形成能力和实现消化吸收再创新——国内厂商能不能把源码吃透？能不能实现"青出于蓝而胜于蓝"。

比如国产Linux能否基于Linux进行发展，摆脱国外技术的依赖，走一条自己的路？

又比如合资OS能否实现消化吸收，并完善发展支持自主CPU？

总而言之，不能因为Linux、Risc-V打了开源标签，就天然认为其符合自主可控，就技术引进项目来说，开源与否并非考量的关键，研发能力和能否实现"青出于蓝而胜于蓝"才是重要考量指标。