紅芯致歉背後：研發一款國產自主瀏覽器內核到底有多難

8 月 17 日上午，處在輿論旋渦的紅芯終於在官方微信號上發了一封致歉信。

與 8 月 16 日所發的聲明和之前公司負責人的受訪態度相比，這屬紅芯官方首次承認錯誤。

致歉信中的三個關鍵點

在 8 月 17 日的致歉信中，紅芯主要強調了以下三點：

1.紅芯在近期的融資宣傳過程中，存在一定程度的誇大，給公眾帶來了誤導，有不可推卸的責任，確實做錯了，在此鄭重地向大家道歉。

2.紅芯瀏覽器內核 Redcore 是基於國際通用的開源Chromium內核架構進行的改造和創新，這一點紅芯前期宣傳中沒有明確提及，誤導部分讀者認為其從零開始研發了瀏覽器內核，今後會在顯著位置標明這點。

3.其本質不只是一個瀏覽器，它是結合紅芯安全管控後台以及紅芯安全應用網關形成的一個跨設備安全辦公整體解決方案，解決中大型企業IT在往移動化、上雲遷移過程中所遇到的問題。

綜合宅客頻道所接觸到的幾位業內人士的看法，他們認為紅芯此次遭遇的危機很大程度上是來源於「過度國產化」的誇大宣傳，這也是其致歉信中最先強調的。

比如其原官網中，就在顯著位置放了這樣一張圖片（目前已撤下）：

它把紅芯瀏覽器和它的內核與微軟 IE 瀏覽器內核 Trident、Google Chrome 瀏覽器內核 Blink、蘋果 Safari 內核 Webkit、火狐瀏覽器內核 Gecko 並列在一起，並且絲毫沒有標註是基於開源 Chromium 內核架構進行研發，更沒有按照開源許可註明版權，這其實與開源精神相悖。

更大的槽點是，在 8 月 15 日紅芯獲得 2.5 億融資的新聞稿中，紅芯稱自己是繼全球四大瀏覽器內核，微軟IE、GoogleChrome、蘋果Safari、火狐瀏覽器內核後的第五家，也是唯一一家屬於中國人自己的瀏覽器內核，具有大陸自主知識產權。

後來危機的爆發，其實大家質疑的點也在這里，紅芯的 redcore 與 Blink 等瀏覽器內核完全不是一個量級的，它只是在 chromium 基礎上造的輪子，仔細看兩個 logo 其實都有相通之處。

以致後來大家紛紛以當年「漢芯」打磨 logo 的醜聞來對比紅芯造假事件，雖然創始人陳本峰先開始以「沒拿國家錢」「內核層面有自主創新」等理由來解釋，但其瀏覽器的官網在 16 號依然被下架，當初說官網「隨時會將產品上架，而且不會改任何東西」的陳本峰，17日也不得不面對官網頁面刪除眾多有關國產自主可控相關信息的現實。

致歉信中的第二個關鍵點是「Redcore 是基於國際通用的開源 Chromium 內核架構進行的改造和創新」。

其實 chromium 本就是基於開源社區驅動的瀏覽器產品，它主要的代碼是基於MIT license 開源協議，從協議層面上，Chromium 本來就鼓勵第三方基於 chromium 代碼進行二次開發，而且不要求二次開源。

之所以如此開放，是因為 Chromium 產品的代碼審核、bug反饋、需求收集、標準制定等，都跟開源社區綁定一起，密不可分，它自身的發展壯大本就是靠著開源來支撐的，這也是為什麼目前Chromium 內核會是市場占有率最高的原因之一。

所以，用開源軟件其實本就不是什麼丟人的事情，但開源也有開源的規矩，需要遵守開源授權協議，藏著掖著，不標明來源，還說是完全自主創新，就讓大家有點看不下去了。

第三個關鍵點是「紅芯的主要業務，並不是向企業售賣更加好用的瀏覽器，而是更好的滿足客戶行為監控的需求。」

相比於當年的「漢芯」事件，紅芯所推出的瀏覽器面向的範圍大多是 G 端的部分用戶（政府用戶）。也就是說，它做的是一個偏小眾的市場，與晶片、操作系統面向大眾完全不同，與愛國的關係其實並不大，但在融資宣傳中，以「國產自主可控」來作為宣傳點，顯然不合適。

風波漸平後，不少人想知道，為何我們沒有國產自主研發的瀏覽器內核？它的門檻到低在哪里？

為何做不了國產自主研發的瀏覽器內核？

據360PC瀏覽器事業部總經理梁志輝介紹，如果按照從 0 到 1 的標準，國內確實沒有自主研發的瀏覽器內核。

研發難的原因大概有以下 3 點。

第一，我們錯過了 HTML4 制定標準的黃金時期。這些標準在 99 年之前就已經定下來了，我們國家發展比較晚，那個時候幾乎沒人來參與制定標準，而對於瀏覽器來說，這又是一個特別需要大家遵守公開開放標準的一個產品，每一個人進來，都得基於已有的技術和標準去做，這個情形在通迅行業的2G/3G標準上也是，所以這是第一個門檻。

第二，成本太高。據360集團助理總裁鄭文彬介紹，自主研發和維護瀏覽器內核非常消耗資源，目前世界上只有Google、微軟、蘋果、火狐等巨頭有這個實力，其他任何號稱完全自主研發的瀏覽器都可能是假的。

以目前市場占有率最大的 Chrome 為例，Google最多時候召集過1000個矽谷的工程師集中力量去開發 Chromium內核，花了至少10年。

按當時灣區工程師25萬美金年薪算，一年光是研發資金就要砸進去近 3 億美金，10 年就是 30 億美金的研發成本。而推廣成本更是數倍於研發成本，也就是上百億。

一個瀏覽器代碼接近2400萬行，從項目規模來說，已經接近半個操作系統了。目前Google、微軟、蘋果作為行業先行者，能夠制定規則已經是個無可避免的事實，而國內，沒有同等實力的公司有這樣的資源，可以投入30億美金去做自主研發，花上百億美金去推廣。

第三，Chromium 本就是一個開源項目，產品由社區驅動，從授權協議上，它們也鼓勵基於已有的技術去做技術創新，而不是重復發明輪子。

紅芯解決的安全問題

對於不少有特殊要求的 G 端用戶（醫療系統、公安系統、政務辦公系統、敏感數據比較多的體系）而言，會設置一個自己的內網，而紅芯所做的事情，正是這塊的業務。

致歉信中提到，紅芯做的並不只是一個瀏覽器，「它是結合紅芯安全管控後台以及紅芯安全應用網關形成的一個跨設備安全辦公整體解決方案。」

網路尖刀團隊創辦人曲子龍認為，紅芯做的簡單來講其實就是身份認證、網路準出控制。即只能讓符合要求的人看到他應該看到的內容，並對此做記錄。

它的方案中有一個產品叫紅芯隱盾，這款產品的邏輯簡單來說就是把瀏覽器作為一個入口點，控制台負責下發訪問規則，設定黑白名單，訪問的操作、滑鼠事件上傳到控制台，發生泄漏的話就通過控制台去找泄漏點。這更像是一個對於個人的上網監控軟件。

而 SDP 的核心其實就是建立一個私有的DNS，授信只有通過紅芯瀏覽器才能訪問到指定數據，在訪問方面通過 port knocking 技術做到授權訪問，私有 DNS 用於敏感系統的解析，port knocking 用於認證後開放訪問權限。

劃分出私有網路，外部設備沒有連接DNS就沒有辦法訪問數據，以此劃分邊界。

紅芯之所以紅芯在 chrome/49 這個版本的基礎上進行研發，是因為chrome/49 是最後一個支持XP的版本，很多政企單位仍然沿用著使用XP系統，這樣做是為了迎合客戶需求，但是由於版本太老，低版本的瀏覽器存在著很多已知高危漏洞，應用Chrome/49很容易導致被黑，顯然並不是一個理想的方案，國內很多瀏覽器都採用雙核模式解決該問題。

宅客頻道 via360瀏覽器，網路尖刀

戳藍字查看更多精彩內容