審查內(nèi)容

雖然對(duì)華為產(chǎn)品的評(píng)估是基于BSI的可信規(guī)范，但縱觀(guān)7年的報(bào)告可以發(fā)現(xiàn)，HCSEC關(guān)注的重點(diǎn)并不是某個(gè)具體的軟件缺陷或漏洞，而是華為持續(xù)交付可信軟件的能力。從2015年發(fā)布的第一期報(bào)告到2020年發(fā)布的第六期報(bào)告，HCSEC一直在跟華為強(qiáng)調(diào)同樣的幾個(gè)問(wèn)題：

首先是軟件構(gòu)建流程一致性。HCSEC在2016年報(bào)告中指出，華為的多款運(yùn)營(yíng)商產(chǎn)品缺乏二進(jìn)制等價(jià)性（binary equivalence）——即，HCSEC拿著華為提供的源代碼，無(wú)法構(gòu)建出與線(xiàn)上運(yùn)行的可執(zhí)行軟件包等價(jià)的軟件包。HCSEC提出了一個(gè)非常合理的置疑：我們對(duì)源代碼做再多的審查，如果不能驗(yàn)證這份源碼正是線(xiàn)上系統(tǒng)的源碼，又如何能說(shuō)這些審查是有效的呢？

2018年的報(bào)告中，HCSEC聲稱(chēng)：在經(jīng)過(guò)“大量努力”后，他們終于成功地從源代碼構(gòu)建出一個(gè)與正式發(fā)布的可執(zhí)行軟件包等價(jià)的軟件包，然而這個(gè)產(chǎn)品尚未被任何英國(guó)運(yùn)營(yíng)商正式使用。其他已經(jīng)投產(chǎn)使用的產(chǎn)品，HCSEC仍然無(wú)法自主構(gòu)建出來(lái)。因此HCSEC認(rèn)為，華為的軟件構(gòu)建流程缺乏端到端的可靠性，不能保障持續(xù)一致地交付可信的軟件。

合理的置疑：缺乏二進(jìn)制一致性，如何保障審查的有效性？

然后受到強(qiáng)調(diào)的是軟件供應(yīng)鏈可信性。在2018年的報(bào)告中，HCSEC記錄了在華為上海研究所舉行監(jiān)督委員會(huì)會(huì)議期間，在華為軟件研發(fā)現(xiàn)場(chǎng)獲得的一手信息：在華為的一個(gè)產(chǎn)品中，就存在70多份OpenSSL——這是一個(gè)常用的開(kāi)源組件——的完整拷貝，涉及4個(gè)不同的OpenSSL版本。在整個(gè)華為產(chǎn)品體系中存在“無(wú)數(shù)個(gè)”O(jiān)penSSL版本，其中一些甚至不是該組件的正式發(fā)行版本。HCSEC認(rèn)為，這表明華為缺乏良好的配置管理和軟件組件生命周期管理實(shí)踐，會(huì)增加軟件供應(yīng)鏈風(fēng)險(xiǎn)發(fā)生的概率和管控的難度。

HCSEC對(duì)軟件供應(yīng)鏈可信的要求并非空穴來(lái)風(fēng)。現(xiàn)代軟件開(kāi)發(fā)高度依賴(lài)于第三方組件、尤其是開(kāi)源軟件組件。雖然軟件廠(chǎng)商往往會(huì)聲稱(chēng)“100%自主研發(fā)”，但軟件產(chǎn)品中絕大部分、經(jīng)常多達(dá)99%的代碼是以依賴(lài)的形式引入的，廠(chǎng)商自主編寫(xiě)的代碼通常只占整個(gè)軟件的1%左右。一個(gè)典型的現(xiàn)代商用軟件通常會(huì)依賴(lài)幾千、上萬(wàn)個(gè)開(kāi)源組件，其中任何一個(gè)組件被發(fā)現(xiàn)安全漏洞，都可能給整個(gè)系統(tǒng)造成損害。

去年12月，一個(gè)用于記錄服務(wù)器日志的開(kāi)源組件Log4j被爆出安全漏洞，據(jù)估計(jì)互聯(lián)網(wǎng)上70%以上的企業(yè)系統(tǒng)都因此暴露在安全風(fēng)險(xiǎn)下。如果軟件研發(fā)組織不能有效地管理軟件供應(yīng)鏈，對(duì)開(kāi)源軟件的依賴(lài)管理混亂而無(wú)章法，軟件產(chǎn)品的可信程度必然大打折扣。

HCSEC還一直強(qiáng)調(diào)軟件代碼編寫(xiě)質(zhì)量。同樣在2018年的報(bào)告中，HCSEC指出：“華為的軟件開(kāi)發(fā)人員大量地違背基本的安全編碼實(shí)踐，包括華為2013年推行的內(nèi)部編碼標(biāo)準(zhǔn)也沒(méi)有得到有效執(zhí)行；盡管有一些自動(dòng)檢測(cè)違反編碼規(guī)范的工具存在，工程師卻常常對(duì)工具檢出的告警視而不見(jiàn)、甚至直接關(guān)閉某些類(lèi)型的告警”。

HCSEC認(rèn)為，盡管華為強(qiáng)制推行安全編碼標(biāo)準(zhǔn)，但管理要求并沒(méi)有落到實(shí)處，客觀(guān)上體現(xiàn)為代碼質(zhì)量不穩(wěn)定、不一致，從而削弱了華為持續(xù)地、一致地交付可信軟件系統(tǒng)的能力。

綜觀(guān)HCSEC的報(bào)告，可以看到英國(guó)政府作為甲方看待可信問(wèn)題的思路：軟件系統(tǒng)的長(zhǎng)期可信，不在于能否解決某一個(gè)兩個(gè)缺陷或漏洞，而是需要建立一套持續(xù)地、一致地交付可信軟件的流程和機(jī)制；而流程和機(jī)制的運(yùn)行，最終要落實(shí)到乙方的組織能力和人員能力上。如果能力不足、缺乏有效的流程和機(jī)制，那么不管應(yīng)對(duì)某一個(gè)具體問(wèn)題多么積極主動(dòng)，這個(gè)乙方供應(yīng)的軟件系統(tǒng)長(zhǎng)期來(lái)看仍然是不可信的。

盡管HCSEC最近的報(bào)告表現(xiàn)出受政治影響、鉆牛角尖的趨勢(shì)，但這個(gè)思路、以及他們落實(shí)這個(gè)思路的治理結(jié)構(gòu)和審查方式是值得我國(guó)甲方單位學(xué)習(xí)借鑒的。

被甲方倒逼出來(lái)的可信能力

華為以積極正面的態(tài)度接納了HCSEC的批評(píng)意見(jiàn)，并投入了大量資源著手強(qiáng)化軟件可信能力。

就在HCSEC措辭尖銳的2018年度報(bào)告發(fā)布后不久，任正非在2019年致全體華為員工的第一封信中就提出要“全面提升軟件工程能力與實(shí)踐，打造可信的高質(zhì)量產(chǎn)品”，要求全體員工、特別是軟件工程師“從最基礎(chǔ)的編碼質(zhì)量做起”、“深刻理解架構(gòu)的核心要素”、“重構(gòu)腐化的架構(gòu)及不符合軟件工程規(guī)范和質(zhì)量要求的歷史代碼”、“深入鉆研軟件技術(shù)”、“遵守過(guò)程的一致性”，并特別強(qiáng)調(diào)“全面強(qiáng)化以Committer角色為核心的代碼審核和提交機(jī)制，代碼經(jīng)過(guò)更加嚴(yán)格和系統(tǒng)的審核才能合入版本”。

這可能是我國(guó)IT行業(yè)歷史上首次有一家重要企業(yè)將代碼層面的能力建設(shè)提到如此高的地位。同年，丁耘承諾華為將在未來(lái)3-5年投入超過(guò)20億美元資金，用于在包括軟件和硬件工程、第三方組件管理、公司文化等八個(gè)關(guān)鍵領(lǐng)域?qū)崿F(xiàn)可信。

華為全面強(qiáng)化軟件可信能力的具體舉措大多不為外人所知，但透過(guò)零星的公開(kāi)信息，仍能一窺這些舉措。尤其針對(duì)HCSEC多年強(qiáng)調(diào)的三方面問(wèn)題，華為的應(yīng)對(duì)取得了明顯的成效。從華為的案例，能看到在具備高度專(zhuān)業(yè)能力的甲方驅(qū)動(dòng)倒逼下，乙方如何提升自身交付可信軟件的能力。