源代码公开之源
作者:三联生活周刊(文 / 尚进 邹剑宇)
盖茨此次除了演讲和会面,做得最多的就是签协议
盖茨之行两个商业收获
2月26日至28日,微软公司董事长比尔·盖茨访问中国,访华期间拜会了中国国家主席江泽民,另与国家计委、北京市委、信息产业部、教育部等主要官员进行了会谈。
此次盖茨来访主要得到两方面商业成果,“其中签了一个源代码的协议,这是我们在国际上签的第四个协议。很多人感到惊奇,我们向中国政府开放了源代码。这表明我们对中国政府、产业界作了一个承诺,我们会进行非常好的合作。因为在互联网变得日益重要的今天,安全是一个非常重要的问题。”盖茨在2月28日下午访华结束时的新闻发布会上说,“我们还和一些重要客户见面,其中包括中国最大的银行——中国工商银行,以及中国电信巨头之一的联通公司。我们将同中国石油进行会面,这些商业单位和公司、银行都在使用一些关键业务的应用,这些都基于微软最新开发的技术。”
作为世界软件行业的代表性企业,微软的商业活动瞄准的是它在中国两个最主要的客户:政府机构和大型企业。盖茨所说的源代码协议英文缩写是GSP——即政府安全计划,微软公司又称之为政府源代码备案计划。在盖茨访华之前微软公司与俄罗斯、北约和英国分别签署了该协议。协议对国家安全及未来软件市场走向影响深远。
安全的第一步
为能够更深入了解政府安全计划(GSP),三联生活周刊采访了协议的中方执行单位——中国信息安全产品评测认证中心的负责人。
问:请您谈谈我国与微软签署的政府安全计划(GSP)源代码协议是一项什么协议?
答:微软此次与中国有关部门签署的协议是落实2002年夏天微软与国家计委签署的合作备忘录的一部分。这个协议可以被视为微软同政府合作的第一步。根据该协议,中国信息安全产品测评认证中心以及与政府有关的机构可以通过可控的方式查看微软Windows(r)的源代码以及相关的技术信息,从而增强政府对Windows 平台安全性的信心。
问:盖茨先生说这次协议公开的是100%的源代码,中国政府是否可以看到Windows平台的所有源代码?
答:与世界上其他国家一样,通过政府安全计划(GSP)源代码协议,中国政府可以看到几乎所有的Windows源代码。但有极少数的Windows源代码,由于涉及到第三方的知识产权,微软无权与签约方分享。
问:哪些人可以读源代码?会不会使用编译器生成现成程序的可能?
答:政府安全计划(GSP)源代码协议允许两类机构及人员可以查看源代码,一是中国信息安全产品测评认证中心可以查看源代码;二是我国政府授权的有关单位,在执行政府指定的信息安全项目时需要查看Windows源代码,在签署有关协议后,也可以查看源代码。关于第二个问题,根据合作协议只允许查看源代码,无法使用编译器生成可执行程序。但允许有关人员在微软位于美国或其他地方的研发机构中,在双方同意的项目中就源代码与微软人员一起工作,对源代码进行验证和实验。
问:您认为微软的政府源代码备案计划与政府采购有什么关系?与Linux类的自由软件有什么关系?
答:GSP源代码协议是微软与政府建立安全合作机制的开始,不是销售协议。GSP与由公益组织“开放源代码促进会”所倡议的“开放源代码(Opensource)”概念有区别。首先,两者开放政策不同,微软的源代码是商业产品,其开放对象是政府,而开放源代码的有关源代码是自由软件,开放对象是公众;其次,对源代码的处理不同,对自由软件,用户可以使用、修改、复制,而GSP源代码协议中的源代码只能以在线方式查看;第三,开放的性质不同,GSP源代码协议对源代码的开放制定配套的管理办法,以保障其知识产权。自由软件则是无条件的完全开放。
问:政府采购软件,其安全性需要认证?微软操作系统通过认证没有?
答:政府使用的软件是需要经过国家的测试认证。微软公司的Windows 2000+SP3在2002年10月在美国通过了国际通用安全评估准则(ISO 15408)标准认证,该准则在2001年正式成为我国国家标准《信息技术安全技术信息技术安全性评估准则》。但是由于中国政府尚未加入国际通用准则认证互认协定(CCRA),微软公司的产品还需向中国信息安全产品测评认证中心申请认证。也就是说,与微软签定政府安全计划源代码协议,并不表明我们对微软产品安全性的认可,也不表明微软产品获得国家的安全认证。