8 月 17 日上午,处在舆论旋涡的红芯终于在官方微信号上发了一封致歉信。
与 8 月 16 日所发的声明和之前公司负责人的受访态度相比,这属红芯官方首次承认错误。
在 8 月 17 日的致歉信中,红芯主要强调了以下三点:
红芯在近期的融资宣传过程中,存在一定程度的夸大,给公众带来了误导,有不可推卸的责任,确实做错了,在此郑重地向大家道歉。
红芯浏览器内核 Redcore 是基于国际通用的开源Chromium内核架构进行的改造和创新,这一点红芯前期宣传中没有明确提及,误导部分读者认为其从零开始研发了浏览器内核,今后会在显著位置标明这点。
其本质不只是一个浏览器,它是结合红芯安全管控后台以及红芯安全应用网关形成的一个跨设备安全办公整体解决方案,解决中大型企业IT在往移动化、上云迁移过程中所遇到的问题。
综合雷锋网所接触到的几位业内人士的看法,他们认为红芯此次遭遇的危机很大程度上是来源于“过度国产化”的夸大宣传,这也是其致歉信中最先强调的。
比如其原官网中,就在显著位置放了这样一张图片(目前已撤下):
它把红芯浏览器和它的内核与微软 IE 浏览器内核 Trident、谷歌 Chrome 浏览器内核 Blink、苹果 Safari 内核 Webkit、火狐浏览器内核 Gecko 并列在一起,并且丝毫没有标注是基于开源 Chromium 内核架构进行研发,更没有按照开源许可注明版权,这其实与开源精神相悖。
更大的槽点是,雷锋网发现在 8 月 15 日红芯获得 2.5 亿融资的新闻稿中,红芯称自己是继全球四大浏览器内核,微软IE、谷歌Chrome、苹果Safari、火狐浏览器内核后的第五家,也是唯一一家属于中国人自己的浏览器内核,具有我国自主知识产权。
后来危机的爆发,其实大家质疑的点也在这里,红芯的 redcore 与 Blink 等浏览器内核完全不是一个量级的,它只是在 chromium 基础上造的轮子,仔细看两个 logo 其实都有相通之处。
以致后来大家纷纷以当年“汉芯”打磨 logo 的丑闻来对比红芯造假事件,虽然创始人陈本峰先开始以“没拿国家钱”“内核层面有自主创新”等理由来解释,但其浏览器的官网在 16 号依然被下架,当初说官网“随时会将产品上架,而且不会改任何东西”的陈本峰,17日也不得不面对官网页面删除众多有关国产自主可控相关信息的现实。
致歉信中的第二个关键点是“Redcore 是基于国际通用的开源 Chromium 内核架构进行的改造和创新”。
其实 chromium 本就是基于开源社区驱动的浏览器产品,它主要的代码是基于MIT license 开源协议,从协议层面上,Chromium 本来就鼓励第三方基于 chromium 代码进行二次开发,而且不要求二次开源。
之所以如此开放,是因为 Chromium 产品的代码审核、bug反馈、需求收集、标准制定等,都跟开源社区绑定一起,密不可分,它自身的发展壮大本就是靠着开源来支撑的,这也是为什么目前Chromium 内核会是市场占有率最高的原因之一。
所以,用开源软件其实本就不是什么丢人的事情,但开源也有开源的规矩,需要遵守开源授权协议,藏着掖着,不标明来源,还说是完全自主创新,就让大家有点看不下去了。
第三个关键点是“红芯的主要业务,并不是向企业售卖更加好用的浏览器,而是更好的满足客户行为监控的需求。”
相比于当年的“汉芯”事件,红芯所推出的浏览器面向的范围大多是 G 端的部分用户(政府用户)。也就是说,它做的是一个偏小众的市场,与芯片、操作系统面向大众完全不同,与爱国的关系其实并不大,但在融资宣传中,以“国产自主可控”来作为宣传点,显然不合适。
风波渐平后,不少人想知道,为何我们没有国产自主研发的浏览器内核?它的门槛到底在哪里?
据360PC浏览器事业部总经理梁志辉介绍,如果按照从 0 到 1 的标准,国内确实没有自主研发的浏览器内核。
研发难的原因大概有以下 3 点。
第一,我们错过了 HTML4 制定标准的黄金时期。这些标准在 99 年之前就已经定下来了,我们国家发展比较晚,那个时候几乎没人来参与制定标准,而对于浏览器来说,这又是一个特别需要大家遵守公开开放标准的一个产品,每一个人进来,都得基于已有的技术和标准去做,这个情形在通迅行业的2G/3G标准上也是,所以这是第一个门槛。
第二,成本太高。据360集团助理总裁郑文彬介绍,自主研发和维护浏览器内核非常消耗资源,目前世界上只有谷歌、微软、苹果、火狐等巨头有这个实力,其他任何号称完全自主研发的浏览器都可能是假的。
以目前市场占有率最大的 Chrome 为例,Google最多时候召集过1000个硅谷的程序员集中力量去开发 Chromium内核,花了至少10年。
按当时湾区程序员25万美金年薪算,一年光是研发资金就要砸进去近 3 亿美金,10 年就是 30 亿美金的研发成本。而推广成本更是数倍于研发成本,也就是上百亿。
一个浏览器代码接近2400万行,从项目规模来说,已经接近半个操作系统了。目前Google、微软、苹果作为行业先行者,能够制定规则已经是个无可避免的事实,而国内,没有同等实力的公司有这样的资源,可以投入30亿美金去做自主研发,花上百亿美金去推广。
第三,Chromium 本就是一个开源项目,产品由社区驱动,从授权协议上,它们也鼓励基于已有的技术去做技术创新,而不是重复发明轮子。
对于不少有特殊要求的 G 端用户(医疗系统、公安系统、政务办公系统、敏感数据比较多的体系)而言,会设置一个自己的内网,而红芯所做的事情,正是这块的业务。
致歉信中提到,红芯做的并不只是一个浏览器,“它是结合红芯安全管控后台以及红芯安全应用网关形成的一个跨设备安全办公整体解决方案。”
网络尖刀团队创办人曲子龙认为,红芯做的简单来讲其实就是身份认证、网络准出控制。即只能让符合要求的人看到他应该看到的内容,并对此做记录。
它的方案中有一个产品叫红芯隐盾,这款产品的逻辑简单来说就是把浏览器作为一个入口点,控制台负责下发访问规则,设定黑白名单,访问的操作、鼠标事件上传到控制台,发生泄漏的话就通过控制台去找泄漏点。这更像是一个对于个人的上网监控软件。
而 SDP 的核心其实就是建立一个私有的DNS,授信只有通过红芯浏览器才能访问到指定数据,在访问方面通过 port knocking 技术实现授权访问,私有 DNS 用于敏感系统的解析,port knocking 用于认证后开放访问权限。
划分出私有网络,外部设备没有连接DNS就没有办法访问数据,以此划分边界。
红芯之所以红芯在 chrome/49 这个版本的基础上进行研发,是因为chrome/49 是最后一个支持XP的版本,很多政企单位仍然沿用着使用XP系统,这样做是为了迎合客户需求,但是由于版本太老,低版本的浏览器存在着很多已知高危漏洞,应用Chrome/49很容易导致被黑,显然并不是一个理想的方案,国内很多浏览器都采用双核模式解决该问题。