开源不是一个系统安全的评估标准，从来都不是

【本文来自《基于Linux的系统和基于X86X64架构的硬件一样都是“伪国产化”》评论区，标题为小编添加】

开源不是一个系统安全的评估标准，从来都不是。不知道为什么主流认知会人为开源就是你知我知就叫安全。

架构，指令集的核心技术才是最底层的东西，这些是别人开发的，那意味着你这套系统任何时间的任何数据都存在被逆向汇编的可能性。一个1或者0被安排在哪一个寄存器进行运算，人家比你清楚，就算在应用层软件层搞所谓的“假迭代”，基于现在的网络系统，别有用心的人，完全可以凭借截获的机器码逆向汇编出可读数据，然后进行破解。如果涉及国家安全的国防科研，动用国家力量不是一件难事。

很多人可能会耻笑美国要剔除F35一切中国零部件。一个专业的师傅能知道这颗螺丝用在什么地方（他并不知道具体是什么，但绝对知道一颗防腐蚀的特种铆钉不会去固定两张铁皮），一个专家能知道为什么这颗螺丝的强度用在这的相关技术参数（至少相应的材料的抗腐蚀性和螺丝差不多），一群专家能够根据各个零部件拼凑出一个大概的作战参数。这事对普通人来说是耗时耗力的，但对于国防科研来说，是不会计较成本的。对于国家来说唯一不能接受的成本就是被“假想敌”灭国。所以在国家安全层面，大多数国家都做过令普通人觉得“可笑”和不可思议甚至不计成本的事。

上世纪日本凭借一张铁人王进喜的工作照，就能分析出油田具体位置，中国需求的采购设备和经济实力能够接受的采购价格。最后日本中标是已经过去的已知结果。

对一件商业行为的逆向分析能力就超出大多数人的认知，更何况指令集是别人的系统。有什么理由人为其是“开源就是安全”的？