源代碼審查能否成為國際慣例？

大數(shù)據(jù)文摘作品

作者：北冥乘海生，清華大學(xué)信息與通信工程博士、《計算廣告》作者。

最近聽說，TikTok向澳大利亞政府表示，將允許澳政府官員審查其算法并測試源代碼，這也在網(wǎng)上引起了熱議。

以此為契機(jī)，我想站在中國的立場上，談?wù)勯_放源代碼審查這件事的來龍去脈，從現(xiàn)狀、風(fēng)險和收益幾個方面分析一下，看看它對我們到底是福還是禍。

我們先來看看現(xiàn)狀。開放源代碼給所在國政府審查這事兒，究竟有行業(yè)先例呢，還是無理要求呢？

事實上，早在2003年，全球軟件業(yè)的巨無霸微軟，就與中國信息安全測評中心簽署了“政府安全計劃”，中國也成為全球首批參與此計劃的國家之一。2014年7月，微軟主動增強(qiáng)了“政府安全計劃”，允許簽約方訪問在北京的“微軟技術(shù)透明中心”并查看及測試微軟產(chǎn)品和服務(wù)的源代碼。而隨著Windows 10政府版的落地，更是可以看出這種代碼審查的正朝著良性互動的方向發(fā)展。在微軟的示范作用下，IBM也通過與世紀(jì)互聯(lián)合作，在中國提供其Bluemix云計算平臺，并開放其源代碼審查。

在中國企業(yè)走出去的過程中，這樣的代碼審查也早有先例。在英國、澳大利亞等國，華為都已經(jīng)建立了安全評估中心，提供100%的源代碼接受政府的審查，以應(yīng)對部分持?jǐn)骋庹邟伋龅摹败姺奖尘罢摗??？陀^地說，這也是華為在歐洲等地區(qū)能夠順利發(fā)展壯大的重要原因之一。

在與中國無關(guān)的市場上，這樣的事而也屢見不鮮。比如，思科、IBM和SAP等歐美科技公司，正接受俄羅斯政府的要求，使其可以獲得嚴(yán)格保密的產(chǎn)品源代碼，以應(yīng)對俄羅斯對其從事黑客活動的指控。而俄羅斯的卡巴斯基殺毒軟件，也推出了一項全球透明度計劃，從2018年第一季度開始，將軟件源代碼提交給更廣泛的信息安全社區(qū)和其他利益相關(guān)者進(jìn)行獨立審查，以表明企業(yè)和任何間諜行為無關(guān)。

因此，從大背景來看，隨著各國政府對信息安全和數(shù)據(jù)國境越來越重視，向政府開放代碼審查，提供數(shù)據(jù)保護(hù)，已經(jīng)成為不可避免的大趨勢。

那么我們再來看看，TikTok向澳洲政府開放源代碼審查，有沒有什么嚴(yán)重的風(fēng)險呢？

首先，TikTok雖然被稱為“海外版抖音”，可是實際上，它們根本就是不同的兩款應(yīng)用。二者的用戶和數(shù)據(jù)，體系也完全不相通，只是產(chǎn)品形態(tài)和界面有些相似罷了。根據(jù)TikTok全球首席安全官羅蘭·克勞蒂爾（Roland Cloutier）的說法，TikTok使用的源代碼與中國國內(nèi)的抖音源代碼并不相同。因此，擔(dān)心開放TikTok源碼會對國內(nèi)的抖音產(chǎn)品安全性帶來威脅，有點杞人憂天了。

另外，值得特別提醒，這里所說的“開放源代碼審查”，只是針對各國的相關(guān)政府部門，而非對商業(yè)公司或其他機(jī)構(gòu)。在審查的方式上，是有資質(zhì)的政府人員訪問TikTok公司在美國洛杉磯的透明與問責(zé)中心，或通過虛擬參觀的方式來審查算法并測試源代碼，而并不能將源代碼帶走或修改。當(dāng)然，如果澳洲政府能找個過目不忘的天才，把源代碼一行不落地都背下來，回家再原樣默寫一遍，那算我沒說。

其實，就算是真有人能默寫出來，也只不過是一項行為藝術(shù)罷了。做過互聯(lián)網(wǎng)的朋友，可能都或多或少有點概念：對這樣的內(nèi)容性產(chǎn)品來說，算法固然重要，但遠(yuǎn)遠(yuǎn)不如龐大的用戶生態(tài)和豐富的數(shù)據(jù)更有價值。沒有了數(shù)據(jù)，推薦算法毫無用戶之地。以為學(xué)會源代碼就想復(fù)制一個TikTok，也就好比你帶上了手套和護(hù)牙膠，就跳上拳擊臺準(zhǔn)備和泰森一決雌雄一樣可笑。

反而是微軟向各國政府開放審查的Windows源代碼，倒真是他的命根子。多少操作系統(tǒng)秘而不宣的武林秘籍，都可以在代碼里一覽無余。理論上講，你只要把代碼編譯出來，手上就是活色生香剛出爐的Windows，跟從微軟哪里買到的正版，除了少個包裝盒以外，沒有任何差別。就算不是整體編譯，找個高手瞧一瞧內(nèi)核里的關(guān)鍵代碼段，可能也能瞬間解決許多操作系統(tǒng)研發(fā)中過不去的坎兒。

于是，微軟都還沒擔(dān)心，TikTok用得著擔(dān)心么？說句文言，這不是皇上不急太監(jiān)急么？

所以依我的看法，及時向外國政府開放源代碼審查，風(fēng)險也相當(dāng)有限，大可不必過于擔(dān)心。不過，也許或有網(wǎng)友質(zhì)問我，沒有多大風(fēng)險就要開放么？這不就認(rèn)慫了么？這倒是問出了我想說的關(guān)鍵：從目前的博弈局面來看，TikTok開放源代碼審查，未必不是一件好事。

這話怎么說的呢？大家要認(rèn)清這樣的現(xiàn)實：在目前全世界的軟件和互聯(lián)網(wǎng)產(chǎn)業(yè)中，美國還是一騎絕塵的老大，大多數(shù)具有全球影響的軟件和網(wǎng)絡(luò)產(chǎn)品，都還是美國人的天下。雖然微軟的Windows、IBM等少數(shù)企業(yè)向中國開放了源代碼審查，可是還有很多大家耳熟能詳?shù)漠a(chǎn)品，比如Office、iOS、Oracle等等，并沒有開放。也就是說，在這些軟件和系統(tǒng)中，理論上說，還存在著惡意代碼或者留有后門的可能性。

大家想想，中國有多少人在用iPhone手機(jī)？有多少臺電腦上裝有Office？有多少銀行的核心系統(tǒng)完全依賴Oracle？而這些軟件在背后做了些什么，我們都是一無所知的。所謂防人之心不可無，這樣的現(xiàn)狀，細(xì)想起來還是讓人背后有一絲涼意的。

中國雖然有少數(shù)幾個產(chǎn)品引起了美國人的注意，可是在這樣的博弈局面下，其實還是光腳不怕穿鞋的。換句話說，如果中美之間能夠達(dá)成這樣的一種妥協(xié)：互相向?qū)Ψ秸_放源代碼審查的權(quán)利，那么從信息安全的角度來看，受益者當(dāng)然是中方無疑。

也就是說，開放源代碼審查，從大方向上看，是符合中國利益的。雖然上面說的妥協(xié)顯然不可能順利達(dá)成，但是我們沒有理由拒絕局面朝著這個方向發(fā)展。所以，反而應(yīng)該利用好這次契機(jī)，在嚴(yán)格的安全保護(hù)機(jī)制下，向有關(guān)政府開放源代碼審查的同時，堅決主張對那些在中國擁有大量個人或企業(yè)用戶的外國軟件和網(wǎng)絡(luò)服務(wù)，也用對等的方式向中國政府開放源代碼審查權(quán)力。

這么看下來，TikTok開放源代碼審查，雖然在網(wǎng)絡(luò)上一石激起了千層浪，可是冷靜下來分析一下，我認(rèn)為一則不必過于擔(dān)心，二則很可能反而是個有利的機(jī)會。希望國家有關(guān)部門利用此次契機(jī)行動起來，在此案例的基礎(chǔ)上，探索全球通用的軟件安全審查模式，用制度化的方式打破跨國巨頭們在中國的代碼和信息壟斷，一勞永逸地解決數(shù)字國境上的安全問題。

點「在看」的人都變好看了哦！