【文/观察者网 谷智轩】

上月底，美国俄亥俄州网络安全公司Finite State（下称，F公司）流出的一份报告称，与竞争对手的设备相比，华为设备更有可能存在可以被黑客恶意利用的漏洞。

《华尔街日报》7月5日报道称，这份报告在公开发布前，已经在特朗普政府高级官员中广泛流传。这些官员认为，Finite State的研究是可信的，进一步证实了美方有关“华为威胁国家安全”的立场。

对于上述报告，华为本月初发布数千字长文予以驳斥，表示F公司的研究“缺乏洞察力、完整性和准确性”，其使用的方法“存在严重的操作和技术缺陷，测试缺乏中立性，报告严重失实”。

PSIRT，Product Security Incident Response Team，产品安全应急响应团队。华为网站截图

“对F公司有违常规的做法感到惊讶和失望”

具体来看，F公司称其使用专有的自动化系统，分析了超过150万份独特的文件，这些文件嵌入在华为企业网络产品线内558种产品的近1万个固件镜像中。

报告称，在华为设备中发现漏洞的比率远远高于竞争对手设备的平均水平，在被测试的固件镜像中，有55%至少存在一个所谓“潜在后门”的漏洞，这类漏洞能让了解相关固件和密钥的攻击者登入设备。

这份报告包含了一个研究案例——将华为一款高端网络交换机与美企Arista Networks和Juniper Networks的类似设备做了比较。研究称，在九个比较类别中，华为的设备在六个类别上含有更高的风险因素，而且整体上高出不少。

对于上述情况，华为在《华为PSIRT：〈Finite State供应链评估〉的技术分析报告》一文中指出，2019年6月26日，F公司在其官方网站公布华为技术有限公司的《供应链评估》报告，该报告重点描述了其使用固件（二进制软件包）静态分析工具，分析了华为企业网络500多个产品，并对华为的CE12800和Juniper的EX4650、Arista的7280R产品做了对比分析，结果认为华为产品安全性差、有疑似后门，安全性低于友商。

华为CE12800系列交换机

“我们对F公司有违常规的做法感到惊讶和失望。我们无法确认F公司软件获取的渠道是否合法，也不能保证其获取软件的完整性，同时华为也未曾收到F公司的任何沟通请求。他们也没有通过华为了解这些产品，并拒绝在公布前将报告提供给华为。遗憾的是，这意味着这份报告缺乏洞察力、完整性和准确性，F公司的这种做法也不是一个专业、认真、有能力的安全公司通常的做法。”

文章进一步指出，鉴于F公司的做法及其工具和方法的不足，其分析结果，最好的情况下是种质疑，最差的情况下就是不准确的。若是通过合作而不是在安全方面选择政治立场的话，这本应是可以避免的。

CEO曾经手国防、情报界相关合同

值得注意的是，华为还对F公司及其CEO马特•怀克豪斯（Matt Wyckhouse）的目的提出了质疑，“为何他们没有选择市场领导者Cisco公司的产品来做比较，为何评估的是华为产品的老版本，发现的是已经在新版本中修复的问题。”

而对于怀克豪斯的背景，《华尔街日报》此前已挖掘了一番。

在2017年与他人联合创办F公司之前，怀克豪斯曾为俄亥俄州Battelle研究所工作了13年，该机构号称是一家“私营的、非营利的应用科学技术公司，从事私营和公共领域的研究工作”。

在Battelle研究所工作期间，身为计算机科学家的怀克豪斯曾效力于该机构的国家安全部门，这个部门负责处理美国国防界和情报界相关的合同。

怀克豪斯称，F公司针对华为的报告是“公益性的、不代表任何政府”，“我们希望5G是安全的”。

华为方面则表示，“F公司花费几个月时间进行了一项有问题的分析，而华为PSIRT（产品安全应急响应团队）在公布报告后第一时间对报告中提到的所有问题进行了调查，我们认为F公司的方法存在严重的操作和技术缺陷，测试缺乏中立性，报告严重失实。”

需要提及的是，尽管怀克豪斯仍然坚称“华为的漏洞是广泛存在的”，但相关报告并没有指责华为故意在产品中植入漏洞。

不过，对于F公司在报告中大量使用“潜在后门”一词，华为表示这种语言是“情绪化、夸大性的”。

“任何一家安全公司，如果在仅经过工具的扫描，未在产品上进行实际验证，甚至对产品、产品架构及环境根本不了解的情况下，就声称发现大量后门和未修补的严重漏洞，是无法让人信赖的。”华为方面表示。

事实上，针对产品相关的安全漏洞信息，华为早已建立了产品安全应急响应团队（PSIRT）。一旦确认漏洞，PSIRT会及时将信息传递给受影响产品的团队，并积极跟踪直至问题解决。

华为建立并实施了一套分层的端到端网络安全评估流程，确保在各阶段（概念、设计、开发、直到在全球客户网络中部署和维护）都对产品进行审视，以发现潜在的安全问题。

本文系观察者网独家稿件，未经授权，不得转载。