這幾天，網(wǎng)上很多有關(guān)美國俄亥俄州網(wǎng)絡(luò)安全公司Finite State（以下簡稱F公司）發(fā)現(xiàn)華為公司網(wǎng)絡(luò)產(chǎn)品存在大量漏洞和后門的消息傳出來?！度A爾街日報》在7月5日也報道了這一事件，為中美兩國目前關(guān)于華為產(chǎn)品安全性的爭論，似乎提供了一個確鑿無疑的有利于美方的證據(jù)，據(jù)說相關(guān)報告在美國政府高層已經(jīng)獲得了相當(dāng)多的認(rèn)同，美國的盟友一直要求美國拿出來有關(guān)華為存在安全性漏洞的證據(jù)，按照現(xiàn)在美國政府毫無顧忌的行事表現(xiàn)，如果過幾天有某些政客拿著個報告說事，一點都不會令人感到驚訝。

F公司花費(fèi)了幾個月的時間進(jìn)行了調(diào)查分析，最終報告的詳細(xì)內(nèi)容是在上月底開始流出的，幾乎在第一時間，華為在它的網(wǎng)站上發(fā)表了《華為PSIRT：《Finite State供應(yīng)鏈評估》的技術(shù)分析報告》（以下簡稱華為報告），針對這份報告中的結(jié)論進(jìn)行了詳細(xì)回復(fù)。我們注意到這個回復(fù)修改的時間是7月3日，最初發(fā)布的回復(fù)應(yīng)該更早，說明華為對這個報告提出的問題是重視的，響應(yīng)是迅速的。

華為報告中指出，F(xiàn)公司的“這份報告缺乏洞察力、完整性和準(zhǔn)確性，F(xiàn)公司的這種做法也不是一個專業(yè)、認(rèn)真、有能力的安全公司通常的做法。”并且“鑒于F公司的做法及其工具和方法的不足，其分析結(jié)果，最好的情況下是種質(zhì)疑，最差的情況下就是不準(zhǔn)確的。若是通過合作而不是在安全方面選擇政治立場的話，這本應(yīng)是可以避免的。”仔細(xì)閱讀了華為報告之后，華為針對F公司相關(guān)報告的這段回復(fù)總結(jié)，分析是專業(yè)的，判斷是準(zhǔn)確的。

（Finite State針對華為供應(yīng)鏈給出評估報告）

業(yè)界中，針對軟件系統(tǒng)的漏洞無論是自查還是第三方輔助巡查，都是保證軟件正常安全運(yùn)行的常規(guī)機(jī)制，尤其第三方參與的查漏機(jī)制，對于很多大公司來說，不但不是反對的，而且往往還有一定的獎勵措施。所以按照常理來說，F(xiàn)公司投入這么大資源，這么長時間專門針對華為產(chǎn)品進(jìn)行漏洞檢測，在正面的效果來說，對華為產(chǎn)品的安全性有很大的促進(jìn)作用，理應(yīng)當(dāng)獲得華為的歡迎，不過正如華為報告中指出來的那樣，F(xiàn)公司如此費(fèi)勁氣力做出來的結(jié)果，卻在關(guān)鍵的一些環(huán)節(jié)上沒有遵循業(yè)界慣常的做法，也就是說，F(xiàn)公司需要將報告提交給華為公司，提出漏洞存在的可能性，并且由雙方共同進(jìn)行驗證。F公司沒有遵循這個規(guī)范做法，而是直接將報告交給正在苦于找不到華為不安全證據(jù)的美國政府手中，其中的意味就顯然有不善的成份，難怪華為對此表達(dá)了相當(dāng)憤怒的情緒。

（Finite State公司對華為的CE12800和Juniper的EX4650、Arista的7280R產(chǎn)品做了對比分析，結(jié)果認(rèn)為華為產(chǎn)品安全性差、有疑似后門，安全性低于友商）

（華為針對報告中提到的AR3600 V200R007C00SPCb00存在10個已知漏洞的情況，經(jīng)過分析確認(rèn)，其中 6個不受影響、2個已修復(fù)，2個風(fēng)險低）

F公司測試報告中使用的分析方法SCA(Software Composition Analysis)技術(shù)也是業(yè)界普遍采用標(biāo)準(zhǔn)化漏洞掃描技術(shù)，實現(xiàn)的方法非常簡單，大致有以下幾個檢驗原則：

1、識別軟件中所使用開源軟件版本、License 信息，確保開源軟件使用合規(guī)性

2、根據(jù)開源軟件版本到漏洞庫中匹配，以得出開源軟件的全部漏洞列表

3、針對一些安全性薄弱的函數(shù)方法和調(diào)用手段給予警示

所有的SCA都是采用特征值檢測，軟件實現(xiàn)的邏輯是相對簡單的，它通過掃描軟件，與需要預(yù)警的特征值進(jìn)行匹配，至于這個特征值的實際實現(xiàn)的功能究竟為何，不放到整個的軟件邏輯和數(shù)據(jù)環(huán)境中，是不可能得到的。所以SCA掃描獲得的結(jié)果只能用來做警示信息，還需要通過人工進(jìn)行二次核對，這才是業(yè)界正確的規(guī)范做法。僅僅根據(jù)疑似的特征值，就貿(mào)然得出存在漏洞的結(jié)論是相當(dāng)武斷毛糙的，的確不是一個正常公司的正常做法。

要知道無論是源代碼還是二進(jìn)制代碼，通過讀取軟件代碼，分析出來軟件的操作能力和運(yùn)行結(jié)果的空間，還是一個相當(dāng)有挑戰(zhàn)新的話題，這屬于機(jī)器證明的領(lǐng)域，不是現(xiàn)在時，在今后相當(dāng)長時間內(nèi)，都不會有什么顯著的進(jìn)展，目前甚至連理論都沒有什么引人注目的成果，蓬勃發(fā)展的AI也還沒有將這部分納入到研究的范疇，更不用說F公司能夠提供什么革命性的解決方案了，所以華為指責(zé)F公司的報告根本沒有考慮到軟件的上下文，這就一點也不奇怪，因為這個世界上目前還不存在這個技術(shù)。

通過特征值掃描技術(shù)得到的結(jié)果可信度非常低，有證據(jù)表明，90%以上的疑似結(jié)果都證明是錯誤的，這就好比說，竊賊往往在夜深人靜的時候登門入戶行竊，但是如果因此你將所有夜行的人都當(dāng)作竊賊，那就是極其荒腔走板了。F公司的檢測報告就是這樣一個荒腔走板的報告。如果F公司遵循業(yè)界正常的流程，將這個報告提交給華為公司做進(jìn)一步的確認(rèn)，或者F公司也可以自己組織資源針對潛在的漏洞進(jìn)行攻擊驗證，那么獲得的結(jié)果可信度就能大大提高，也能排除絕大多數(shù)的虛假警示，也是業(yè)界提倡的兩種行為規(guī)范。但是F公司走的是另外一條上層路線，直接將這個報告交給對于技術(shù)一無所知的政客，讓他們拿來作為攻擊華為安全性的炮彈，這樣的用意動機(jī)首先就不純，違反了業(yè)界的行為規(guī)范，也給自己公司的專業(yè)性、公正性蒙上污點。我們注意到盡管F公司提及那么多漏洞和后門，但是沒有一個得到最終的確認(rèn)，所有結(jié)果就仍然還屬于莫須有的狀態(tài)。

（美國國家漏洞數(shù)據(jù)庫中顯示微軟公司漏洞數(shù)量位于TOP5的第一位）

動機(jī)不純，公正性就無從談起，如何制造更有指向性的結(jié)論就是一件簡單的事情。任何一個公司的軟件系統(tǒng)都有一些公共的資源共享，都有一些特殊的編碼模式可以遵循，因此選取一些具有指向性的特征值集合，就能獲得期望的有偏向性的結(jié)果。我們無從知道F公司采用的特征值集合組成情況，是否具有普適性，是否經(jīng)過目標(biāo)明確的裁剪，這同樣會讓F公司的測試報告失去可對比的公允性。華為報告也指出來，用來對比的公司既非主流也缺少足夠的數(shù)據(jù)采集量，獲得的采樣分析結(jié)論就肯定不具有統(tǒng)計學(xué)上的顯著意義，這對于一個專業(yè)公司來說，如果連基礎(chǔ)統(tǒng)計學(xué)意義都沒有達(dá)到，那么付出那么大代價所要得到的結(jié)論首先就禁不起科學(xué)的推敲，顯得很不專業(yè)。上面兩種可能性導(dǎo)致結(jié)果偏差的存在，不能不令人懷疑F公司背后隱藏著的動機(jī)。

華為報告中用明確的例子一一指出來F公司不專業(yè)的表現(xiàn)，他們對于嵌入式系統(tǒng)需要遵循的規(guī)范顯然比較陌生，更要命的是，華為產(chǎn)品是對Linux系統(tǒng)的深度改版，只保留了系統(tǒng)最核心的基礎(chǔ)功能，更多的有關(guān)用戶管理、遠(yuǎn)程接入控制、TCP/IP協(xié)議棧都是由自主開發(fā)的VRP（Versatile Routing Platform）接管，取代了Linux原有的功能。雖然我們不知道這與鴻蒙系統(tǒng)的承繼關(guān)系如何，不過可以看出來華為對于Linux系統(tǒng)吃得很透，已經(jīng)進(jìn)入自由王國境界的門檻。但是F公司顯然不知道這個情況，他們做的掃描檢測一律按照標(biāo)準(zhǔn)的Linux系統(tǒng)實現(xiàn)的模式來進(jìn)行，走入的技術(shù)路徑跟華為南轅北轍，也難怪華為一再指出來，如果F公司之前與華為進(jìn)行溝通就不會犯這種低級的錯誤，將根本不存在的問題拿出來說事。標(biāo)準(zhǔn)模式下運(yùn)行的掃描系統(tǒng)會按照Linux實現(xiàn)規(guī)范進(jìn)行檢測，根本不會理會華為專有的設(shè)計架構(gòu)，所以得出的結(jié)果自然是無效的，除非系統(tǒng)能夠?qū)ｉT針對華為產(chǎn)品進(jìn)行定向定制，而這樣的工作其實只有華為自己公司才能實現(xiàn)。

（VRP接管遠(yuǎn)程用戶接入）

不過華為報告中同時也認(rèn)可了F公司報告中發(fā)現(xiàn)的一些問題，這些問題包括：

1. 遺留超級用戶帳戶的授權(quán)authorized_keys文件

2. 已修復(fù)的漏洞，沒有將相應(yīng)的版本號同步修訂

由于華為產(chǎn)品相關(guān)操作都已經(jīng)轉(zhuǎn)為在VRP環(huán)境下運(yùn)行，不再需要Linux環(huán)境下的authorized_keys授權(quán)文件，這類文件屬于開發(fā)工程調(diào)試階段的遺留產(chǎn)物，在正式發(fā)布的產(chǎn)品中應(yīng)該被剔除。顯然華為在產(chǎn)品發(fā)布清單管理方面的工作還有待加強(qiáng)。任何一個大系統(tǒng)中，多多少少都會遺留一些陳舊的代碼文件，這些文件在任何動態(tài)測試的環(huán)節(jié)中都無法被發(fā)現(xiàn)，只有建立起來明確的產(chǎn)品發(fā)布清單核查機(jī)制后，才能有效地避免類似的垃圾文件混入發(fā)布產(chǎn)品中的情況發(fā)生。當(dāng)然因為這些數(shù)據(jù)或者文件不會影響產(chǎn)品的功能實現(xiàn)，在很多公司，除了比較認(rèn)真的團(tuán)隊會做一個徹底的清理外，基本都會多多少少忽視這個環(huán)節(jié)。其實包括微軟在內(nèi)，發(fā)布的windows產(chǎn)品一直都有很多類似的垃圾文件存在，至于共享生態(tài)下的Linux體系，這類文件就更多了，很少引起大家的重視。但是不管怎么說，存在這類垃圾文件本來就不是好現(xiàn)象，更何況還是這樣敏感的授權(quán)文件，就更不應(yīng)該，華為在新發(fā)布的修正版中已經(jīng)剔除掉這個文件?？偟膩碚f，這個文件屬于廢棄的文件，由于Linux對應(yīng)的操作代碼在系統(tǒng)中不復(fù)存在，因此任何時候都無法將其利用作為提權(quán)的手段，因此不屬于存在實質(zhì)性的安全問題，頂多算是系統(tǒng)環(huán)境清理得不夠干凈。

有關(guān)漏洞修復(fù)后不同步更新版本號，其實也是共享軟件一直存在的痼疾，畢竟散亂的開發(fā)成員之間是否能夠嚴(yán)格遵循版本管理的約定，很多時候都是依靠自我管理，這不像在同一個公司能夠制定剛性的紀(jì)律來強(qiáng)制執(zhí)行，所以對于這個業(yè)界普遍知曉的問題，也確實需要得到重視，能夠在巡檢的過程中發(fā)現(xiàn)此類問題，并進(jìn)行更正也是很有必要的。我們注意到華為針對此類問題都做了再次仔細(xì)的核查，并確認(rèn)標(biāo)識的版本中存在的漏洞都已經(jīng)修復(fù)過，但是版本號沒有進(jìn)行過更新，因此導(dǎo)致掃描軟件發(fā)生誤判。嚴(yán)格來說，雖然漏洞在實際的代碼中早已被修復(fù)，但是這種版本號沒有同步更新的情形仍然算作系統(tǒng)的缺陷，但是不歸入到威脅安全水平的致命型缺陷中。

可以說，F(xiàn)公司發(fā)現(xiàn)的上述兩種類型的問題，確實屬于實實在在需要改進(jìn)的缺陷，只是這些缺陷并不屬于安全漏洞或者后門，通常測試時候發(fā)現(xiàn)類似的問題，如果出于交付時間和工作量的綜合考慮，仍然可以將產(chǎn)品交付，不用進(jìn)行修復(fù)，這在測試領(lǐng)域內(nèi)也是允許和經(jīng)常發(fā)生的。畢竟任何已經(jīng)發(fā)布的軟件產(chǎn)品中都必然存在一些缺陷，那是真正影響到軟件功能實現(xiàn)的問題。軟件領(lǐng)域中，完美主義是根本無法實現(xiàn)的理想，你看看手頭上那些主要使用的軟件，哪個不是經(jīng)常在打補(bǔ)丁，堵漏洞？所以類似上述與功能實現(xiàn)都一點不相關(guān)的問題，在很多公司中，甚至都不當(dāng)作缺陷來看待。當(dāng)然，一個優(yōu)秀的公司，它的優(yōu)秀應(yīng)該是體現(xiàn)在方方面面的，在細(xì)節(jié)上的精雕細(xì)琢是必須具備的品質(zhì)，所以來說，華為也確實需要在上述兩個環(huán)節(jié)中加強(qiáng)管理，因為確實會發(fā)生某些特殊的情況，垃圾文件也會被有心人利用起來，作為攻擊的手段；版本管理的失調(diào)，更會在后續(xù)的版本迭代過程中發(fā)生很多意想不到的疏漏，這是華為在這個事件中需要吸取的教訓(xùn)。

盡管F公司發(fā)布了所謂發(fā)現(xiàn)華為產(chǎn)品存在疑似漏洞和后門的報告，但是因為這個報告違反了業(yè)界約定俗成的規(guī)范，在數(shù)據(jù)采集過程中存在某些法律越界的現(xiàn)象，也沒有采用最新的固件版本，發(fā)現(xiàn)疑似漏洞也沒有進(jìn)一步多方核查，就貿(mào)然將高達(dá)90%以上不可靠結(jié)論的報告當(dāng)作最終報告，也不奇怪華為很不客氣地評價說：最好的情況下是種質(zhì)疑，最差的情況下就是不準(zhǔn)確的。并且在美中兩國進(jìn)行貿(mào)易爭端談判和美國單方面將華為列入實體清單，并號召全世界進(jìn)行封殺的時候，如此違反常規(guī)的做法，背后沒有政治目的是很不令人信服的，何況這些所謂的漏洞后門在華為報告中都已經(jīng)進(jìn)行了一一反駁，一個進(jìn)行了幾個月的調(diào)查，采集了500多種產(chǎn)品軟件，近1萬個固件和150多萬份文件的專業(yè)公司，走了這么不專業(yè)的路徑，得出這么不專業(yè)結(jié)論，我們不相信不是出于某些非技術(shù)的目的。

科學(xué)家和工程師們面對問題需要具有客觀性，但是政客們可以隨意篩選他們想要的論據(jù)，不具專業(yè)能力的普通人只能在科學(xué)技術(shù)工作者和政客的言論之間選擇自己的立場。如果前兩種人物具有某種默契，就會形成一個遠(yuǎn)離事實的輿論場，等到真相到來的時候，有些成見已經(jīng)固化，難以挽回，中國成語有所謂的“三人成虎”就是這個道理。

你得承認(rèn)美國人確實在國際事務(wù)中積累了豐富的博弈經(jīng)驗，他們知道在叫牌之前，如何制造出來一個有利于自己的氛圍，讓參加博弈的對方還沒開局就已落下方，逼迫對方知難而退，特朗普的極限施壓是這個博弈方法最登峰造極的典型例子。F公司的作為顯然也是制造這個不公正氛圍的一個有機(jī)組成，他們不光彩的是一面打著科學(xué)公正的面目，另一面卻在做著違反行業(yè)各種規(guī)范的事情，一面在明，一面在暗，而公眾只能從他們充滿謬誤的結(jié)論中，誤認(rèn)為這就是公正。

科學(xué)家和工程師們面對客觀世界雖然需要秉持客觀公正的態(tài)度，遵循業(yè)界業(yè)已行之有效的各種行事規(guī)范，但是就科學(xué)家、工程師個人以及公司而言，同樣需要面對各種私利的誘惑，沒有哪個研究表明科學(xué)家團(tuán)體具有更高的道德水準(zhǔn)，一旦他們的行為失范，就會利用公眾對科學(xué)的信任，將錯誤的信息傳達(dá)給整個社會。這樣的事例可以說是層出不窮，國內(nèi)國外皆如此，就F公司的這個報告來說，就是提供的又一個典型的例子。很多國內(nèi)的公眾僅僅從表面的結(jié)論中誤以為華為確實被美企抓住了把柄，但實際的情況，這只是中美大博弈過程中一個小小的浪花，對于技術(shù)界來說， 這個充滿偏見和非專業(yè)色彩的報告根本沒有多少可供參考的價值，只能被政客拿來做他們博弈過程中一個小小的籌碼。