這幾天，網上很多有關美國俄亥俄州網絡安全公司Finite State（以下簡稱F公司）發(fā)現(xiàn)華為公司網絡產品存在大量漏洞和后門的消息傳出來?！度A爾街日報》在7月5日也報道了這一事件，為中美兩國目前關于華為產品安全性的爭論，似乎提供了一個確鑿無疑的有利于美方的證據，據說相關報告在美國政府高層已經獲得了相當多的認同，美國的盟友一直要求美國拿出來有關華為存在安全性漏洞的證據，按照現(xiàn)在美國政府毫無顧忌的行事表現(xiàn)，如果過幾天有某些政客拿著個報告說事，一點都不會令人感到驚訝。

F公司花費了幾個月的時間進行了調查分析，最終報告的詳細內容是在上月底開始流出的，幾乎在第一時間，華為在它的網站上發(fā)表了《華為PSIRT：《Finite State供應鏈評估》的技術分析報告》（以下簡稱華為報告），針對這份報告中的結論進行了詳細回復。我們注意到這個回復修改的時間是7月3日，最初發(fā)布的回復應該更早，說明華為對這個報告提出的問題是重視的，響應是迅速的。

華為報告中指出，F(xiàn)公司的“這份報告缺乏洞察力、完整性和準確性，F(xiàn)公司的這種做法也不是一個專業(yè)、認真、有能力的安全公司通常的做法。”并且“鑒于F公司的做法及其工具和方法的不足，其分析結果，最好的情況下是種質疑，最差的情況下就是不準確的。若是通過合作而不是在安全方面選擇政治立場的話，這本應是可以避免的。”仔細閱讀了華為報告之后，華為針對F公司相關報告的這段回復總結，分析是專業(yè)的，判斷是準確的。

（Finite State針對華為供應鏈給出評估報告）

業(yè)界中，針對軟件系統(tǒng)的漏洞無論是自查還是第三方輔助巡查，都是保證軟件正常安全運行的常規(guī)機制，尤其第三方參與的查漏機制，對于很多大公司來說，不但不是反對的，而且往往還有一定的獎勵措施。所以按照常理來說，F(xiàn)公司投入這么大資源，這么長時間專門針對華為產品進行漏洞檢測，在正面的效果來說，對華為產品的安全性有很大的促進作用，理應當獲得華為的歡迎，不過正如華為報告中指出來的那樣，F(xiàn)公司如此費勁氣力做出來的結果，卻在關鍵的一些環(huán)節(jié)上沒有遵循業(yè)界慣常的做法，也就是說，F(xiàn)公司需要將報告提交給華為公司，提出漏洞存在的可能性，并且由雙方共同進行驗證。F公司沒有遵循這個規(guī)范做法，而是直接將報告交給正在苦于找不到華為不安全證據的美國政府手中，其中的意味就顯然有不善的成份，難怪華為對此表達了相當憤怒的情緒。

（Finite State公司對華為的CE12800和Juniper的EX4650、Arista的7280R產品做了對比分析，結果認為華為產品安全性差、有疑似后門，安全性低于友商）

（華為針對報告中提到的AR3600 V200R007C00SPCb00存在10個已知漏洞的情況，經過分析確認，其中 6個不受影響、2個已修復，2個風險低）

F公司測試報告中使用的分析方法SCA(Software Composition Analysis)技術也是業(yè)界普遍采用標準化漏洞掃描技術，實現(xiàn)的方法非常簡單，大致有以下幾個檢驗原則：

1、識別軟件中所使用開源軟件版本、License 信息，確保開源軟件使用合規(guī)性

2、根據開源軟件版本到漏洞庫中匹配，以得出開源軟件的全部漏洞列表

3、針對一些安全性薄弱的函數(shù)方法和調用手段給予警示

所有的SCA都是采用特征值檢測，軟件實現(xiàn)的邏輯是相對簡單的，它通過掃描軟件，與需要預警的特征值進行匹配，至于這個特征值的實際實現(xiàn)的功能究竟為何，不放到整個的軟件邏輯和數(shù)據環(huán)境中，是不可能得到的。所以SCA掃描獲得的結果只能用來做警示信息，還需要通過人工進行二次核對，這才是業(yè)界正確的規(guī)范做法。僅僅根據疑似的特征值，就貿然得出存在漏洞的結論是相當武斷毛糙的，的確不是一個正常公司的正常做法。

要知道無論是源代碼還是二進制代碼，通過讀取軟件代碼，分析出來軟件的操作能力和運行結果的空間，還是一個相當有挑戰(zhàn)新的話題，這屬于機器證明的領域，不是現(xiàn)在時，在今后相當長時間內，都不會有什么顯著的進展，目前甚至連理論都沒有什么引人注目的成果，蓬勃發(fā)展的AI也還沒有將這部分納入到研究的范疇，更不用說F公司能夠提供什么革命性的解決方案了，所以華為指責F公司的報告根本沒有考慮到軟件的上下文，這就一點也不奇怪，因為這個世界上目前還不存在這個技術。

通過特征值掃描技術得到的結果可信度非常低，有證據表明，90%以上的疑似結果都證明是錯誤的，這就好比說，竊賊往往在夜深人靜的時候登門入戶行竊，但是如果因此你將所有夜行的人都當作竊賊，那就是極其荒腔走板了。F公司的檢測報告就是這樣一個荒腔走板的報告。如果F公司遵循業(yè)界正常的流程，將這個報告提交給華為公司做進一步的確認，或者F公司也可以自己組織資源針對潛在的漏洞進行攻擊驗證，那么獲得的結果可信度就能大大提高，也能排除絕大多數(shù)的虛假警示，也是業(yè)界提倡的兩種行為規(guī)范。但是F公司走的是另外一條上層路線，直接將這個報告交給對于技術一無所知的政客，讓他們拿來作為攻擊華為安全性的炮彈，這樣的用意動機首先就不純，違反了業(yè)界的行為規(guī)范，也給自己公司的專業(yè)性、公正性蒙上污點。我們注意到盡管F公司提及那么多漏洞和后門，但是沒有一個得到最終的確認，所有結果就仍然還屬于莫須有的狀態(tài)。

（美國國家漏洞數(shù)據庫中顯示微軟公司漏洞數(shù)量位于TOP5的第一位）

動機不純，公正性就無從談起，如何制造更有指向性的結論就是一件簡單的事情。任何一個公司的軟件系統(tǒng)都有一些公共的資源共享，都有一些特殊的編碼模式可以遵循，因此選取一些具有指向性的特征值集合，就能獲得期望的有偏向性的結果。我們無從知道F公司采用的特征值集合組成情況，是否具有普適性，是否經過目標明確的裁剪，這同樣會讓F公司的測試報告失去可對比的公允性。華為報告也指出來，用來對比的公司既非主流也缺少足夠的數(shù)據采集量，獲得的采樣分析結論就肯定不具有統(tǒng)計學上的顯著意義，這對于一個專業(yè)公司來說，如果連基礎統(tǒng)計學意義都沒有達到，那么付出那么大代價所要得到的結論首先就禁不起科學的推敲，顯得很不專業(yè)。上面兩種可能性導致結果偏差的存在，不能不令人懷疑F公司背后隱藏著的動機。

華為報告中用明確的例子一一指出來F公司不專業(yè)的表現(xiàn)，他們對于嵌入式系統(tǒng)需要遵循的規(guī)范顯然比較陌生，更要命的是，華為產品是對Linux系統(tǒng)的深度改版，只保留了系統(tǒng)最核心的基礎功能，更多的有關用戶管理、遠程接入控制、TCP/IP協(xié)議棧都是由自主開發(fā)的VRP（Versatile Routing Platform）接管，取代了Linux原有的功能。雖然我們不知道這與鴻蒙系統(tǒng)的承繼關系如何，不過可以看出來華為對于Linux系統(tǒng)吃得很透，已經進入自由王國境界的門檻。但是F公司顯然不知道這個情況，他們做的掃描檢測一律按照標準的Linux系統(tǒng)實現(xiàn)的模式來進行，走入的技術路徑跟華為南轅北轍，也難怪華為一再指出來，如果F公司之前與華為進行溝通就不會犯這種低級的錯誤，將根本不存在的問題拿出來說事。標準模式下運行的掃描系統(tǒng)會按照Linux實現(xiàn)規(guī)范進行檢測，根本不會理會華為專有的設計架構，所以得出的結果自然是無效的，除非系統(tǒng)能夠專門針對華為產品進行定向定制，而這樣的工作其實只有華為自己公司才能實現(xiàn)。

（VRP接管遠程用戶接入）

不過華為報告中同時也認可了F公司報告中發(fā)現(xiàn)的一些問題，這些問題包括：

1. 遺留超級用戶帳戶的授權authorized_keys文件

2. 已修復的漏洞，沒有將相應的版本號同步修訂

由于華為產品相關操作都已經轉為在VRP環(huán)境下運行，不再需要Linux環(huán)境下的authorized_keys授權文件，這類文件屬于開發(fā)工程調試階段的遺留產物，在正式發(fā)布的產品中應該被剔除。顯然華為在產品發(fā)布清單管理方面的工作還有待加強。任何一個大系統(tǒng)中，多多少少都會遺留一些陳舊的代碼文件，這些文件在任何動態(tài)測試的環(huán)節(jié)中都無法被發(fā)現(xiàn)，只有建立起來明確的產品發(fā)布清單核查機制后，才能有效地避免類似的垃圾文件混入發(fā)布產品中的情況發(fā)生。當然因為這些數(shù)據或者文件不會影響產品的功能實現(xiàn)，在很多公司，除了比較認真的團隊會做一個徹底的清理外，基本都會多多少少忽視這個環(huán)節(jié)。其實包括微軟在內，發(fā)布的windows產品一直都有很多類似的垃圾文件存在，至于共享生態(tài)下的Linux體系，這類文件就更多了，很少引起大家的重視。但是不管怎么說，存在這類垃圾文件本來就不是好現(xiàn)象，更何況還是這樣敏感的授權文件，就更不應該，華為在新發(fā)布的修正版中已經剔除掉這個文件?？偟膩碚f，這個文件屬于廢棄的文件，由于Linux對應的操作代碼在系統(tǒng)中不復存在，因此任何時候都無法將其利用作為提權的手段，因此不屬于存在實質性的安全問題，頂多算是系統(tǒng)環(huán)境清理得不夠干凈。

有關漏洞修復后不同步更新版本號，其實也是共享軟件一直存在的痼疾，畢竟散亂的開發(fā)成員之間是否能夠嚴格遵循版本管理的約定，很多時候都是依靠自我管理，這不像在同一個公司能夠制定剛性的紀律來強制執(zhí)行，所以對于這個業(yè)界普遍知曉的問題，也確實需要得到重視，能夠在巡檢的過程中發(fā)現(xiàn)此類問題，并進行更正也是很有必要的。我們注意到華為針對此類問題都做了再次仔細的核查，并確認標識的版本中存在的漏洞都已經修復過，但是版本號沒有進行過更新，因此導致掃描軟件發(fā)生誤判。嚴格來說，雖然漏洞在實際的代碼中早已被修復，但是這種版本號沒有同步更新的情形仍然算作系統(tǒng)的缺陷，但是不歸入到威脅安全水平的致命型缺陷中。

可以說，F(xiàn)公司發(fā)現(xiàn)的上述兩種類型的問題，確實屬于實實在在需要改進的缺陷，只是這些缺陷并不屬于安全漏洞或者后門，通常測試時候發(fā)現(xiàn)類似的問題，如果出于交付時間和工作量的綜合考慮，仍然可以將產品交付，不用進行修復，這在測試領域內也是允許和經常發(fā)生的。畢竟任何已經發(fā)布的軟件產品中都必然存在一些缺陷，那是真正影響到軟件功能實現(xiàn)的問題。軟件領域中，完美主義是根本無法實現(xiàn)的理想，你看看手頭上那些主要使用的軟件，哪個不是經常在打補丁，堵漏洞？所以類似上述與功能實現(xiàn)都一點不相關的問題，在很多公司中，甚至都不當作缺陷來看待。當然，一個優(yōu)秀的公司，它的優(yōu)秀應該是體現(xiàn)在方方面面的，在細節(jié)上的精雕細琢是必須具備的品質，所以來說，華為也確實需要在上述兩個環(huán)節(jié)中加強管理，因為確實會發(fā)生某些特殊的情況，垃圾文件也會被有心人利用起來，作為攻擊的手段；版本管理的失調，更會在后續(xù)的版本迭代過程中發(fā)生很多意想不到的疏漏，這是華為在這個事件中需要吸取的教訓。

盡管F公司發(fā)布了所謂發(fā)現(xiàn)華為產品存在疑似漏洞和后門的報告，但是因為這個報告違反了業(yè)界約定俗成的規(guī)范，在數(shù)據采集過程中存在某些法律越界的現(xiàn)象，也沒有采用最新的固件版本，發(fā)現(xiàn)疑似漏洞也沒有進一步多方核查，就貿然將高達90%以上不可靠結論的報告當作最終報告，也不奇怪華為很不客氣地評價說：最好的情況下是種質疑，最差的情況下就是不準確的。并且在美中兩國進行貿易爭端談判和美國單方面將華為列入實體清單，并號召全世界進行封殺的時候，如此違反常規(guī)的做法，背后沒有政治目的是很不令人信服的，何況這些所謂的漏洞后門在華為報告中都已經進行了一一反駁，一個進行了幾個月的調查，采集了500多種產品軟件，近1萬個固件和150多萬份文件的專業(yè)公司，走了這么不專業(yè)的路徑，得出這么不專業(yè)結論，我們不相信不是出于某些非技術的目的。

科學家和工程師們面對問題需要具有客觀性，但是政客們可以隨意篩選他們想要的論據，不具專業(yè)能力的普通人只能在科學技術工作者和政客的言論之間選擇自己的立場。如果前兩種人物具有某種默契，就會形成一個遠離事實的輿論場，等到真相到來的時候，有些成見已經固化，難以挽回，中國成語有所謂的“三人成虎”就是這個道理。

你得承認美國人確實在國際事務中積累了豐富的博弈經驗，他們知道在叫牌之前，如何制造出來一個有利于自己的氛圍，讓參加博弈的對方還沒開局就已落下方，逼迫對方知難而退，特朗普的極限施壓是這個博弈方法最登峰造極的典型例子。F公司的作為顯然也是制造這個不公正氛圍的一個有機組成，他們不光彩的是一面打著科學公正的面目，另一面卻在做著違反行業(yè)各種規(guī)范的事情，一面在明，一面在暗，而公眾只能從他們充滿謬誤的結論中，誤認為這就是公正。

科學家和工程師們面對客觀世界雖然需要秉持客觀公正的態(tài)度，遵循業(yè)界業(yè)已行之有效的各種行事規(guī)范，但是就科學家、工程師個人以及公司而言，同樣需要面對各種私利的誘惑，沒有哪個研究表明科學家團體具有更高的道德水準，一旦他們的行為失范，就會利用公眾對科學的信任，將錯誤的信息傳達給整個社會。這樣的事例可以說是層出不窮，國內國外皆如此，就F公司的這個報告來說，就是提供的又一個典型的例子。很多國內的公眾僅僅從表面的結論中誤以為華為確實被美企抓住了把柄，但實際的情況，這只是中美大博弈過程中一個小小的浪花，對于技術界來說， 這個充滿偏見和非專業(yè)色彩的報告根本沒有多少可供參考的價值，只能被政客拿來做他們博弈過程中一個小小的籌碼。