【文/观察者网专栏作者 李红雨】

这几天，网上很多有关美国俄亥俄州网络安全公司Finite State（以下简称F公司）发现华为公司网络产品存在大量漏洞和后门的消息传出来。《华尔街日报》也报道了这一事件，为中美两国目前关于华为产品安全性的争论，似乎提供了一个确凿无疑的有利于美方的证据，据说相关报告在美国政府高层已经获得了相当多的认同，美国的盟友一直要求美国拿出来有关华为存在安全性漏洞的证据，按照现在美国政府毫无顾忌的行事表现，如果过几天有某些政客拿着个报告说事，一点都不会令人感到惊讶。

F公司花费了几个月的时间进行了调查分析，最终报告的详细内容是在上月底开始流出的，几乎在第一时间，华为在它的网站上发表了《华为PSIRT：《Finite State供应链评估》的技术分析报告》（以下简称华为报告），针对这份报告中的结论进行了详细回复。我们注意到这个回复修改的时间是7月3日，最初发布的回复应该更早，说明华为对这个报告提出的问题是重视的，响应是迅速的。

（华为公司官网回应）

华为报告中指出，F公司的“这份报告缺乏洞察力、完整性和准确性，F公司的这种做法也不是一个专业、认真、有能力的安全公司通常的做法。”并且“鉴于F公司的做法及其工具和方法的不足，其分析结果，最好的情况下是种质疑，最差的情况下就是不准确的。若是通过合作而不是在安全方面选择政治立场的话，这本应是可以避免的。”仔细阅读了华为报告之后，华为针对F公司相关报告的这段回复总结，分析是专业的，判断是准确的。

（Finite State针对华为供应链给出评估报告）

业界中，针对软件系统的漏洞无论是自查还是第三方辅助巡查，都是保证软件正常安全运行的常规机制，尤其第三方参与的查漏机制，对于很多大公司来说，不但不是反对的，而且往往还有一定的奖励措施。所以按照常理来说，F公司投入这么大资源，这么长时间专门针对华为产品进行漏洞检测，在正面的效果来说，对华为产品的安全性有很大的促进作用，理应当获得华为的欢迎.

不过正如华为报告中指出来的那样，F公司如此费劲气力做出来的结果，却在关键的一些环节上没有遵循业界惯常的做法，也就是说，F公司需要将报告提交给华为公司，提出漏洞存在的可能性，并且由双方共同进行验证。F公司没有遵循这个规范做法，而是直接将报告交给正在苦于找不到华为不安全证据的美国政府手中，其中的意味就显然有不善的成份，难怪华为对此表达了相当愤怒的情绪。

（Finite State公司对华为的CE12800和Juniper的EX4650、Arista的7280R产品做了对比分析，结果认为华为产品安全性差、有疑似后门，安全性低于友商）

（华为针对报告中提到的AR3600 V200R007C00SPCb00存在10个已知漏洞的情况，经过分析确认，其中6个不受影响、2个已修复，2个风险低）

F公司测试报告中使用的分析方法SCA(Software Composition Analysis)技术也是业界普遍采用标准化漏洞扫描技术，实现的方法非常简单，大致有以下几个检验原则：

1. 识别软件中所使用开源软件版本、License 信息，确保开源软件使用合规性

2. 根据开源软件版本到漏洞库中匹配，以得出开源软件的全部漏洞列表

3. 针对一些安全性薄弱的函数方法和调用手段给予警示

所有的SCA都是采用特征值检测，软件实现的逻辑是相对简单的，它通过扫描软件，与需要预警的特征值进行匹配，至于这个特征值的实际实现的功能究竟为何，不放到整个的软件逻辑和数据环境中，是不可能得到的。所以SCA扫描获得的结果只能用来做警示信息，还需要通过人工进行二次核对，这才是业界正确的规范做法。仅仅根据疑似的特征值，就贸然得出存在漏洞的结论是相当武断毛糙的，的确不是一个正常公司的正常做法。

要知道无论是源代码还是二进制代码，通过读取软件代码，分析出来软件的操作能力和运行结果的空间，还是一个相当有挑战新的话题，这属于机器证明的领域，不是现在时，在今后相当长时间内，都不会有什么显著的进展，目前甚至连理论都没有什么引人注目的成果，蓬勃发展的AI也还没有将这部分纳入到研究的范畴，更不用说F公司能够提供什么革命性的解决方案了，所以华为指责F公司的报告根本没有考虑到软件的上下文，这就一点也不奇怪，因为这个世界上目前还不存在这个技术。