倪光南

近日，中国科学院下属某实验室自称“完全自主可控”国产编程语言“木兰(Mulan)”发布，遭到网友质疑，认为该工作是利用现有的编程语言Python改头换面而已，目前该项目研发人已经公开回应这是基于Python二次开发，他也已被停职检查。对这种情况当然应该予以批评，不过这属于极个别的问题，而且发现快、纠正及时，未造成很大的影响，我们不必夸大这种问题，更没有理由因此质疑整个“自主可控”事业的发展。

从总体上来看，我国现在网信领域的整体技术和产业水平已居世界第二。相比发达国家而言，中国在网信领域是整体跟跑，但有些方面已出现了跟跑、并跑、领跑并存的局面。不过，受发达国家技术封锁的影响，目前我国关键技术领域被“卡脖子”的现象依然存在，为了解决受制于人的问题，我们在未来很长一段时间内都会继续坚持安全可控和开放创新并重、坚持独立自主和对外开放相统一的方针，尤其是关键核心技术的“自主可控”非常重要，这一点上我们不能因噎废食，因出现某些极个别的事件而动摇我们的奋斗目标。

现在我们网信技术发展的短板是芯片和基础软件，也就是通常所说的“缺芯少魂”。这些方面都是我们发展“自主可控”技术的重要方向。编程语言在基础软件甚至整个信息技术领域中都有非常重要的价值，这方面我们还明显落后于发达国家，即使可以用开源软件，也存在着被某些国家“长臂管辖”的风险，比如此前全球最大的代码开源社区Github就更改了用户协议，服务器及用户上传的信息要接受美国法律监督，包括美国的出口管制法律。所以我们需要在这个领域加大研发力度，以便能够真正地实现“自主可控”，那将会是我国网信领域的一大突破。

实际上，将某些不能自主可控的外国产品打扮成自主可控的国产产品的“穿马甲”现象时有发生，它有着十分严重的危害，既可能引入网络安全风险，又可能影响补齐网络技术“短板”的努力。

为防止此类事件再次发生，笔者认为有必要对关键核心技术在以往已经实施的“质量测评”和“安全测评”外再增加“自主可控测评”。具体来讲，就是针对CPU、OS等核心技术产品或针对其他软硬件和服务制订客观、科学的“自主可控性”测评标准，并由第三方机构实行测评。在关系到网信安全的重要场合，“自主可控”测评可起“一票否决”作用。总之，为了增强网络安全，我们还应该从各个方向加强“自主可控”的制度建设。

(作者是中国科学院计算所研究员、中国工程院院士)