安全是永恒的話(huà)題，這次華為安全專(zhuān)家上傳了一段HKSP補(bǔ)丁代碼，被發(fā)現(xiàn)漏洞，引發(fā)廣大網(wǎng)友質(zhì)疑：

①、網(wǎng)友質(zhì)疑：華為故意放漏洞，甚至引申到華為設(shè)備是否已經(jīng)在用該代碼。

②、華為澄清：并沒(méi)有參與HKSP，也沒(méi)有任何設(shè)備使用該代碼。

事情真相如何?數(shù)智風(fēng)簡(jiǎn)要分析一下。

1、華為故意放漏洞一說(shuō)，應(yīng)該不存在

①、公司層面說(shuō)

華為公司大家有目共睹，每年投入的研發(fā)經(jīng)費(fèi)上百億元人民幣（2019年投入上千億元）。比BAT三大互聯(lián)網(wǎng)巨頭投入研發(fā)經(jīng)費(fèi)加起來(lái)總和還多。作為一個(gè)投入那么多研發(fā)經(jīng)費(fèi)的公司，編寫(xiě)的linux內(nèi)核補(bǔ)丁代碼不可能不經(jīng)過(guò)內(nèi)部測(cè)試，內(nèi)部審計(jì)。如果經(jīng)過(guò)內(nèi)部測(cè)試和內(nèi)部審計(jì)的代碼，能夠被網(wǎng)友隨便就能發(fā)現(xiàn)補(bǔ)丁上還有漏洞。這顯然不合乎邏輯。

②、代碼層面說(shuō)

再來(lái)看看這段代碼的功能，是為L(zhǎng)inux內(nèi)核引入了一系列加強(qiáng)安全的選項(xiàng)，可以有效限制惡意代碼創(chuàng)建分布式拒絕服務(wù)攻擊的能力，并限制發(fā)送欺騙數(shù)據(jù)包(具有偽造源IP地址的TCP/IP數(shù)據(jù)包)的能力。這本身就是防止攻擊的補(bǔ)丁，而補(bǔ)丁上可以被輕而易舉利用的漏洞甚至缺少通常的威脅模型。試問(wèn)，一個(gè)有大量研發(fā)經(jīng)費(fèi)投入的華為公司，不至于連威脅模型都缺乏吧。

③、工程師層面說(shuō)

最后看看這段補(bǔ)丁代碼的發(fā)布者。他是華為的L20頂級(jí)安全工程師。它自己業(yè)已經(jīng)宣稱(chēng)對(duì)這件事負(fù)責(zé)。是他個(gè)人的臨時(shí)演示代碼。我相信他沒(méi)有說(shuō)謊。因?yàn)閺倪壿嬌险f(shuō)，一個(gè)頂級(jí)安全工程師在寫(xiě)正式的內(nèi)核安全補(bǔ)丁，應(yīng)該是會(huì)考慮威脅模型，是會(huì)仔細(xì)審計(jì)代碼的。而不會(huì)將含有很容易看出漏洞的代碼來(lái)交付的。唯一的可能就是，他發(fā)現(xiàn)了linux分布式攻擊的漏洞，于是利用業(yè)余時(shí)間臨時(shí)編了段演示代碼。該代碼還未經(jīng)過(guò)仔細(xì)審核，也還未經(jīng)過(guò)測(cè)試。甚至更還沒(méi)有告訴公司。

所以，從上面三個(gè)方面來(lái)看，華為故意放漏洞一說(shuō)，數(shù)智風(fēng)認(rèn)為應(yīng)該是不存在的。

2、華為是否有設(shè)備已經(jīng)使用該段代碼？

這個(gè)疑問(wèn)應(yīng)該比較明確。既然前面說(shuō)的代碼都是個(gè)人臨時(shí)發(fā)布的，華為公司不可能將臨時(shí)的補(bǔ)丁代碼隨便發(fā)布到現(xiàn)有的設(shè)備中去。

不說(shuō)華為大公司，就是一般軟件開(kāi)發(fā)公司，要是需要做補(bǔ)丁發(fā)布。也是需要經(jīng)過(guò)嚴(yán)格測(cè)試后才能發(fā)布。而華為這種大公司更是如此。在我們使用的華為手機(jī)就知道，一些新的功能和補(bǔ)丁的發(fā)布，華為就算經(jīng)過(guò)嚴(yán)格測(cè)試了，發(fā)布都還是采用滾動(dòng)發(fā)布的。就是一批人先測(cè)試，然后逐步逐步擴(kuò)散升級(jí)。

所以，一個(gè)那么不嚴(yán)謹(jǐn)?shù)难a(bǔ)丁代碼是不會(huì)發(fā)布到現(xiàn)有設(shè)備中去的。大家還是可以放心使用的。

3、那為什么會(huì)有那么多人質(zhì)疑華為？華為有沒(méi)有責(zé)任？

①、為什么質(zhì)疑華為

這件事情一發(fā)酵，很多人都在懷疑華為。畢竟這個(gè)L20頂級(jí)工程師的名頭是實(shí)實(shí)在在的，而且也確實(shí)是華為公司的員工。被人懷疑也是可以理解。不過(guò)這個(gè)懷疑者我想也是分為幾類(lèi)人的。

• 表面理解者：看到補(bǔ)丁確實(shí)是華為安全員工提交，而且也實(shí)實(shí)在在存在漏洞。自然有理由懷疑。有懷疑才有研究，有研究才有進(jìn)步嗎。

• 不明真相跟風(fēng)者：網(wǎng)絡(luò)上也有很多不明真相的網(wǎng)友，看到有人懷疑，未加細(xì)想就加入了懷疑者行列。
• 居心叵測(cè)者：這類(lèi)一般平時(shí)就比較陰暗的，有陰謀的。一看到華為出了個(gè)紕漏，那還不趕緊扒上去咬一口。當(dāng)然這類(lèi)人我相信比較少，但他們?nèi)菀讕Ч?jié)奏，讓不明真相者跟風(fēng)懷疑。

其實(shí)，懷疑不怕，就怕帶著惡意的懷疑才是最可怕的。那這個(gè)事情華為到底有沒(méi)有責(zé)任呢？

②、華為到底有沒(méi)有責(zé)任？

這個(gè)事情，代碼作者本人已經(jīng)出來(lái)澄清是他個(gè)人的問(wèn)題。所以這件事情的責(zé)任是他個(gè)人。華為可以管轄員工的上班行為，無(wú)法管轄員工的業(yè)余時(shí)間行為。那華為就真的一點(diǎn)問(wèn)題都沒(méi)有嗎？

我想，華為還是有些地方需要改進(jìn)的。華為雖然不能管理員工的業(yè)務(wù)時(shí)間，但應(yīng)該對(duì)自己的員工多加培訓(xùn)。尤其是關(guān)鍵時(shí)刻（MOT）的培訓(xùn)，員工只要還在公司任職，任何一次與用戶(hù)或者與公眾見(jiàn)面的時(shí)刻都是關(guān)鍵時(shí)刻，都不可以掉以輕心。因?yàn)閱T工始終會(huì)代表公司的形象（哪怕是你不在上班時(shí)間）。

總結(jié)

綜上所述，華為頂級(jí)安全工程師發(fā)布這段補(bǔ)丁代碼確實(shí)不夠嚴(yán)謹(jǐn)。華為公司也應(yīng)該加強(qiáng)員工培訓(xùn)。如果，作者在發(fā)布代碼時(shí)加以說(shuō)明是演示代碼，或者等干脆正式代碼候再發(fā)布就沒(méi)有這些問(wèn)題了。對(duì)于質(zhì)疑，其實(shí)不可怕，只要沒(méi)有特別目的的質(zhì)疑其實(shí)都是一種進(jìn)步。以上是我的粗淺認(rèn)識(shí)，希望對(duì)你有所幫助。

我是數(shù)智風(fēng)，用經(jīng)驗(yàn)回答問(wèn)題，評(píng)論！