久久久久精品免费福利电影,国产又黄又大又粗视频,A级毛片免费播放无码,人人妻人人爽人人澡欧美一区

審查內容

雖然對華為產品的評估是基于BSI的可信規范，但縱觀7年的報告可以發現，HCSEC關注的重點并不是某個具體的軟件缺陷或漏洞，而是華為持續交付可信軟件的能力。從2015年發布的第一期報告到2020年發布的第六期報告，HCSEC一直在跟華為強調同樣的幾個問題：

首先是軟件構建流程一致性。HCSEC在2016年報告中指出，華為的多款運營商產品缺乏二進制等價性（binary equivalence）——即，HCSEC拿著華為提供的源代碼，無法構建出與線上運行的可執行軟件包等價的軟件包。HCSEC提出了一個非常合理的置疑：我們對源代碼做再多的審查，如果不能驗證這份源碼正是線上系統的源碼，又如何能說這些審查是有效的呢？

2018年的報告中，HCSEC聲稱：在經過“大量努力”后，他們終于成功地從源代碼構建出一個與正式發布的可執行軟件包等價的軟件包，然而這個產品尚未被任何英國運營商正式使用。其他已經投產使用的產品，HCSEC仍然無法自主構建出來。因此HCSEC認為，華為的軟件構建流程缺乏端到端的可靠性，不能保障持續一致地交付可信的軟件。

合理的置疑：缺乏二進制一致性，如何保障審查的有效性？

然后受到強調的是軟件供應鏈可信性。在2018年的報告中，HCSEC記錄了在華為上海研究所舉行監督委員會會議期間，在華為軟件研發現場獲得的一手信息：在華為的一個產品中，就存在70多份OpenSSL——這是一個常用的開源組件——的完整拷貝，涉及4個不同的OpenSSL版本。在整個華為產品體系中存在“無數個”OpenSSL版本，其中一些甚至不是該組件的正式發行版本。HCSEC認為，這表明華為缺乏良好的配置管理和軟件組件生命周期管理實踐，會增加軟件供應鏈風險發生的概率和管控的難度。

HCSEC對軟件供應鏈可信的要求并非空穴來風。現代軟件開發高度依賴于第三方組件、尤其是開源軟件組件。雖然軟件廠商往往會聲稱“100%自主研發”，但軟件產品中絕大部分、經常多達99%的代碼是以依賴的形式引入的，廠商自主編寫的代碼通常只占整個軟件的1%左右。一個典型的現代商用軟件通常會依賴幾千、上萬個開源組件，其中任何一個組件被發現安全漏洞，都可能給整個系統造成損害。

去年12月，一個用于記錄服務器日志的開源組件Log4j被爆出安全漏洞，據估計互聯網上70%以上的企業系統都因此暴露在安全風險下。如果軟件研發組織不能有效地管理軟件供應鏈，對開源軟件的依賴管理混亂而無章法，軟件產品的可信程度必然大打折扣。

HCSEC還一直強調軟件代碼編寫質量。同樣在2018年的報告中，HCSEC指出：“華為的軟件開發人員大量地違背基本的安全編碼實踐，包括華為2013年推行的內部編碼標準也沒有得到有效執行；盡管有一些自動檢測違反編碼規范的工具存在，工程師卻常常對工具檢出的告警視而不見、甚至直接關閉某些類型的告警”。

HCSEC認為，盡管華為強制推行安全編碼標準，但管理要求并沒有落到實處，客觀上體現為代碼質量不穩定、不一致，從而削弱了華為持續地、一致地交付可信軟件系統的能力。

綜觀HCSEC的報告，可以看到英國政府作為甲方看待可信問題的思路：軟件系統的長期可信，不在于能否解決某一個兩個缺陷或漏洞，而是需要建立一套持續地、一致地交付可信軟件的流程和機制；而流程和機制的運行，最終要落實到乙方的組織能力和人員能力上。如果能力不足、缺乏有效的流程和機制，那么不管應對某一個具體問題多么積極主動，這個乙方供應的軟件系統長期來看仍然是不可信的。

盡管HCSEC最近的報告表現出受政治影響、鉆牛角尖的趨勢，但這個思路、以及他們落實這個思路的治理結構和審查方式是值得我國甲方單位學習借鑒的。

被甲方倒逼出來的可信能力

華為以積極正面的態度接納了HCSEC的批評意見，并投入了大量資源著手強化軟件可信能力。

就在HCSEC措辭尖銳的2018年度報告發布后不久，任正非在2019年致全體華為員工的第一封信中就提出要“全面提升軟件工程能力與實踐，打造可信的高質量產品”，要求全體員工、特別是軟件工程師“從最基礎的編碼質量做起”、“深刻理解架構的核心要素”、“重構腐化的架構及不符合軟件工程規范和質量要求的歷史代碼”、“深入鉆研軟件技術”、“遵守過程的一致性”，并特別強調“全面強化以Committer角色為核心的代碼審核和提交機制，代碼經過更加嚴格和系統的審核才能合入版本”。

這可能是我國IT行業歷史上首次有一家重要企業將代碼層面的能力建設提到如此高的地位。同年，丁耘承諾華為將在未來3-5年投入超過20億美元資金，用于在包括軟件和硬件工程、第三方組件管理、公司文化等八個關鍵領域實現可信。

華為全面強化軟件可信能力的具體舉措大多不為外人所知，但透過零星的公開信息，仍能一窺這些舉措。尤其針對HCSEC多年強調的三方面問題，華為的應對取得了明顯的成效。從華為的案例，能看到在具備高度專業能力的甲方驅動倒逼下，乙方如何提升自身交付可信軟件的能力。