【翻譯】英國HCSEC對華為産品安全方面的調查報告

譯者的話

目前越來越多的企業推出國際化的産品和服務，而國際市場已經被發達國家用專利、法律法規、準入制度所占領，中國企業家是國際市場的 “後來者”，“走出去” 要承受更多、更大的風險。這就要求企業作更多的努力，盡量根據市場的規則來行事，以減少風險。但網際網路公司對這個客觀環境認識不清或者沒有足夠的認識，進而把自己推向“風險地帶”，所部署的産品和軟體更需要“打鐵自身硬”。

從譯文中我們可以從技術層面了解國際商業環境上對以服務為中心的軟體安全方面的 “苛求”。當然各家業務不同，對标華為這樣的商業模式未必适用，但從業者依然可以管中窺豹發現除了符合 GDPR 對資料安全方面的要求，企業應當具備什麼樣的應用安全傳遞能力？業界領先的标準是什麼？我們自己做得差距在哪？

背景新聞

[英國的NCSC監督員表示，華為尚未修複其安全漏洞](https://www.theregister.co.uk/2019/02/20/ncsc_huawei_security/)

[英國再爆華為安全漏洞？華為已回應](https://www.eet-china.com/news/201903291048.html)

[華為網絡安全調查報告釋出：存在嚴重軟體安全問題](https://www.expreview.com/67589.html)

下文的連結解釋了任正非19年一号總裁令提到的《關于啟動徹底變革，提升軟體工程能力，打造可信的高品質産品》的來龍去脈，以及華為方面對csec認證這件事的解釋說明。

[華為輪值董事長徐直軍：華為5G絕對安全美國禁用或為其他目的](https://tech.qq.com/a/20190215/007916.htm)

5年20 億美金投入的重點：

本質上，我們将采用未來的标準、未來的需求來重建我們的軟體開發過程，并且在我們重構遺留代碼的過程中，我們将遵循這些未來的标準。

為了獲得客戶或政府部門的信任，我們不僅要確定結果的高品質和可信性，而且還要確定生産這些軟體的過程的高品質和可信性。我們認為這是華為實作我們長遠目标的基礎或基石。

參考閱讀文章

[華為是網絡安全的威脅者還是捍衛者？](http://3g.forbeschina.com/review/201012/0005918.shtml)

[CSEC咨詢，求大神講解 ](http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=3511681)

[華為在布魯塞爾成立網絡安全透明中心](http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=4204723&p=1#p38049955)

[松山湖ICSL是個神馬部門？不産糧，為毛還這麼屌 ](http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=3489163&p=1#p28053039)

[【研發】“頭痛醫頭，腳痛醫腳”式的源碼掃描工具何時休止 ](http://xinsheng.huawei.com/cn/index.php?app=forum&mod=Detail&act=index&id=3845121&search_result=20)

[https://cn.linkedin.com/in/qiuhua-xie-b6aa8710a](https://cn.linkedin.com/in/qiuhua-xie-b6aa8710a)

正文

華為網絡安全評估中心監督委員會年度報告

第一部分：簡介

略

5. 監督委員會第五年工作的主要結論是：

2018 年，作為管理華為參與英國核心網絡對國家安全風險戰略的一部分，HCSEC 履行了向 NCSC 和英國營運商提供軟體工程和網絡安全保障的義務;
然而，正如 2018 年報告的那樣，HCSEC 的工作繼續證明了華為軟體開發環節中存在問題給英國營運商帶來了顯著增加的風險，這需要持續管理和采取緩解措施；
在上一份 2018 年報告中所提出的問題沒有取得實質性進展；
監督委員會繼續隻能提供有限度的保證，即可以對目前在英國部署的華為裝置中管理長期安全風險;
監督委員會建議，在英國現網部署的場景下，很難對未來産品進行适當的風險管理，直到華為軟體工程和網絡安全流程的根本缺陷得到糾正為止;
目前，監督委員會還沒有看到任何讓華為成功完成其轉型計劃要素的能力，而華為提出的轉型計劃就是解決這些潛在缺陷的核心方式。理事會将要求持續證明 HCSEC 和 NCSC 驗證的更好的軟體工程和網絡安全品質;
總體而言，監督委員會隻能提供有限度的保證，即華為參與英國關鍵網絡對國家安全的所有風險可以在長期内得到充分緩解。

第二部分：技術和營運報告

這是華為網絡安全評估中心（HCSEC）監督委員會的第五份年度報告。該報告可能包含一些更廣泛的華為公司戰略和非英國方面利益的參考。重要的是要注意，監督委員對于這些事項上沒有直接的根據，隻有確定與 HCSEC 的英國業務有直接結論有關聯的情況下才将其考量在内。英國政府對這些非英國方面的關注僅限于確定 HCSEC 有足夠的能力履行其對英國的約定義務。除此之外，無論是英國政府，還是整個董事會，都沒有在這一過程中施加任何影響。

介紹

這是華為網絡安全評估中心（HCSEC）監督委員會的第五份年度報告。HCSEC 是牛津郡班伯裡的一家機構，隸屬于華為技術（UK）有限公司（Huawei UK），其母公司是一家總部位于中國的公司，華為技術有限公司，現在是全球最大的電信供應商商之一。
HCSEC 已經運作了八年。2010 年 11 月，根據華為與 HMG 達成的一系列協定，該合資公司成立，旨在減輕華為參與英國關鍵國家基礎設施部分項目所帶來的任何潛在風險。HCSEC 為英國市場使用的一系列産品提供安全評估。通過 HCSEC，英國政府可以了解華為在英國的戰略和産品範圍。英國國家網絡安全中心 (NCSC，前身為 GCHQ) 是國家資訊保障技術主管部門，也是政府網絡安全方面的主要營運機構，負責政府處理 HCSEC 和華為更廣泛的技術安全事務。
HCSEC 監督委員會成立于 2014 年，由 NCSC（國家網絡安全中心）首席執行官 Ciaran Martin 擔任主席，他也是 GCHQ（應該政府通訊總部）負責網絡安全的執行董事。監督委員會繼續包括華為的一名高管擔任副主席，以及來自政府和英國電信行業的進階代表。監督委員會的組成沒有發生重大變化，但成員在 2017-18 年發生了變化。這主要是由于 HMG 和華為的員工輪崗造成的。
這是監督委員會成員一緻通過的第五份年度報告。同去年的報告一樣，審計委員會同意不需要一個保密的附件，是以，本報告的内容是全面的分析和評價。
報告如下：

第一節規定了監督委員會的職權範圍和成員資格;
第二節描述了 HCSEC 的人員配置，技能，招聘和住宿;
第三節涉及 HCSEC 技術保障，優先排序和研發;
第四節總結了 2018 年獨立審計的結果;
第五節彙總了一些結論。

第二部分

第一節：HCSEC 監督委員會：職權範圍和成員資格

略

第二節 HCSEC 雇員

略

第三節（a）HCSEC 技術保證

略

第三節（b）支援性技術證據

HCSEC 評估流程

略
HCSEC 計劃建立和優先級劃分

略
HCSEC 技術工作和高層次結果概述

3.7 HCSEC 和 NCSC 在 2018 年開展了重要的技術工作，NCSC 承擔了職責範圍第 3.3 段所設想的監督委員會的審計工作。本節的下半部分提供了這項工作的詳細資訊，但為了友善起見，這裡提供了進階别的結論和結果。
- 華為提供了四種産品來測試二進制溯源一緻性。HCSEC 對其進行驗證的工作仍在進行中，但已經暴露了底層建構過程中更廣泛的缺陷，這些缺陷需要在大規模示範二進制一緻之前加以糾正。NCSC 已向監管委員會建議，作為華為轉型計劃的一部分當務之急應該是糾正這些潛在缺陷。除非做到這一點，否則不可能确信 HCSEC 檢查的源代碼正是用于建構在英國網絡中運作的二進制檔案。（譯者：英國政府 NCSC（國家網絡安全中心）要求部署的所有産品都有可複現的建構過程，在由華為提供穩定具備編譯環境的鏡像的中，保證提供的源代碼和二進制元件可以編譯出同現網部署完全一緻的産品安裝封包件）
- 由于各種與建構相關的問題，很難相信類似華為裝置的不同部署大體上是同等安全的。例如，很難确信通過持續內建流程的正常運作，在一個建構中發現的漏洞在另一次建構中得到修複。這種能力以及對特定源代碼集精确用于建構特定二進制的端到端能力保證通常會被視為現代軟體工程所帶來的附加影響。
- 華為的配置管理改進自 2010 年以來一直受到英國社群的推動，但并沒有在産品和平台開發組或配置項類型 (源代碼、建構工具、建構腳本等) 之間得到普遍應用。如果沒有良好的配置管理，華為傳遞的産品就不可能有端到端的完整性，對華為能夠了解 “任何給定的全部編譯内容” 含義或者具備識别産生問題的根本原因進行分析的能力缺乏信心。
- 華為仍在使用一個即将退出主流支援版本的老版本，該版本是由第三方提供的一個知名且廣泛使用的實時作業系統。（譯者：WindRiver 家的 VxWorks，一家美國公司的作業系統）華為已經單獨從供應商處購買了一項的長期支援協定，以便在未來以商業上可行的方式解決漏洞，但單記憶體空間、單使用者上下文安全模型帶來的潛在網絡安全風險依然存在。NCSC 認為，目前還沒有可靠的計劃來降低在英國使用這種實時作業系統的風險。華為自己的等效作業系統與其他元件一樣，也有許多相同的開發過程，而 NCSC 目前沒有足夠的證據來判斷該元件的軟體工程品質和網絡安全影響。此外，它采用了更現代的記憶體和安全模型，是以與運作在作業系統上的現有産品內建會帶來風險。這意味着，轉向這種實時作業系統可能不會長期改善這種情況，同時會給英國營運商帶來內建風險。華為、HCSEC、英國營運商和 NCSC 之間的工作仍在繼續，以制定一個切實可行的計劃，降低英國網絡使用這種老式的第三方實時作業系統的長期風險。但是 NCSC 仍然關注自發現這個問題以來沒有提出可靠計劃的時間。
- 對華為更廣泛的軟體元件生命周期管理的分析揭示了導緻重大網絡安全和可用性風險的缺陷。這是一個重要的發現，在本節的第二部分中提供了更多的細節。對存在這一問題的現有代碼庫以及允許其系統性發生的有缺陷的過程進行補救，需要進行重大的糾正。
HCSEC 對 LTE eNodeB 軟體的後續主要版本進行了軟體工程和網絡安全趨勢分析。後來的版本旨在整合華為的所有改進，是以平均而言應該比以前的版本客觀上更好。雖然有所改進，但産品的一般軟體工程和網絡安全品質仍然顯示出大量主要缺陷。是以，NCSC 仍然擔心華為的軟體工程和網絡安全能力以及相關流程未能得到充分改進。
- 監督委員會要求華為提供計劃，以修複 LTE eNodeB 産品開發和持續工程中的軟體工程和網絡安全問題，并由 NCSC 在英國營運商的支援下進行稽核。NCSC 和英國營運商無法接受送出的計劃。NCSC 目前不相信華為能夠解決它所面臨的重大問題。
- 針對其工程流程中發現的缺陷，華為向監督委員會提出了通過五年内 20 億美元投資改變其軟體工程流程的計劃。然而，這項拟議的投資雖然受到歡迎，但目前僅僅是針對尚未指明的活動的拟議初步預算。雖然對華為全球轉型計劃的正式監督不屬于監督委員會活動的範圍，但董事會希望看到轉型計劃的細節及其對英國網絡中使用的産品的影響的證據，然後才能确信它将會推動更改。除非提供并審查了詳細的計劃，否則無法對華為能夠解決的問題具備任何程度的信心。
- HCSEC 持續發現華為産品的嚴重漏洞。2018 年，數百個漏洞和問題被報告給英國營運商，告知他們的風險管理和補救措施。在以前版本的産品中發現的一些漏洞仍然存在。

結論：HCSEC 能力

3.8 NCSC 仍然認為，英國的緩解戰略 (包括 HCSEC 開展技術工作和監督委員會作為兩個組成部分提供保證) 是管理華為參與英國電信部門風險的最佳方式。本報告中暴露的問題的發現表明該模型工作正常。華為目前繼續參與這一程序。

3.9 HCSEC 在 2018 年的工作繼續在必要的基礎工具方面發展能力，為英國營運商和 NCSC 提供了解和技術安全産品。到 2018 年，HCSEC 繼續在華為産品中發現問題，展示了他們持續發現華為産品缺陷的能力。此外，2018 年 HCSEC 花費了大量精力分析華為研發人員的所聲明的，并有效地從一個異常複雜和難以控制的開發和建構過程中逆向工程發現根本原因。這需要卓越的技術技能和洞察力。

3.10 HCSEC 繼續擁有世界一流的安全研究人員，他們正在開發新的工具和技術，以使英國社會了解華為在複雜電信領域獨特的軟體工程和網絡安全流程對軟體工程和網絡安全的影響。

3.11 在核心網絡安全工作方面，向英國營運商報告的漏洞和問題數量已增至數百個。鑒于 2018 年進行的産品評估數量有所增加（2017 年為 39 次，超過 27 次），這一數字大緻與往年持平。在以前的評估中報告的一些嚴重漏洞在較新版本中繼續存在。

3.12 這些年來，漏洞的特征沒有顯著變化，許多漏洞具有很高的影響（相當于高的基礎 CVSS 分數和相關的運作場景），包括公共可通路協定中未受保護的堆棧溢出、導緻拒絕服務的協定穩健性錯誤、邏輯錯誤，加密弱點、預設憑據和許多其他基本漏洞類型。盡管華為要求在研發過程中應用其安全編碼标準，廣泛使用商用靜态分析工具，并且華為堅持對有風險代碼進行重構，在目标軟體工程和網絡安全品質方面，HCSEC 傳遞給英國營運商進行評估的代碼幾乎沒有改進。

3.13 華為裝置帶來的英國電信基礎設施重大風險将繼續需要由英國營運商進行管理，同時需要所有相關方進行大量的工作以降低現有裝置的風險。NCSC 和英國營運商将繼續與華為合作，為英國的裝置制定可靠和可營運的修複計劃。華為已同意在英國對裝置的修複獨立于華為可能做的任何其他工作，并将及時進行。作為正常業務的一部分，監督委員會将判斷 HCSEC 在這方面的有效性。如本報告所述，目前尚不清楚英國可能會對新裝置制定類似的計劃。

3.14 這些風險并不是因為 HCSEC 的人員配置和能力存在任何問題，而 HCSEC 的人員配置和能力仍然是世界級的。監督委員會将希望 HCSEC 就華為選擇對其開發過程進行的任何更改提供獨立的意見，并确定軟體工程和網絡安全提升對最終部署産品的有效性。

3.15 NCSC 認為，HCSEC 仍有能力在必要的技術安全領域向營運商、NCSC 和監督委員會提供有關在英國電信基礎設施中使用華為産品所承認的産品和解決方案風險的建議。NCSC 向監督委員會送出的報告指出，HCSEC 将繼續提供獨特的、世界一流的網絡安全專業知識，以協助政府在英國營運商使用華為裝置的過程中進行的風險管理計劃。

結論：對英國國家安全風險的影響

3.16 上述 HCSEC 的工作揭示了華為軟體工程和網絡安全能力的嚴重和系統性缺陷。是以，NCSC 繼續向監督委員會提出建議，因為 NCSC 尚未看到可靠的補救計劃，是以僅對目前在英國部署的裝置進行安全風險管理提供有限的技術保證是恰當的。即使這種有限的保證也隻有在很大程度上歸功于 HCSEC 的工作，才能在英國很好地了解華為裝置的缺陷。鑒于這種知識，在極端情況下，NCSC 可以指導華為對目前在英國的裝置進行補救。我們不應将這一做法視為将困難最小化，或暗示這将是一種可持續的做法。在某些情況下，補救還需要替換硬體 (由于 CPU 和記憶體的限制)，這可能是也可能不是正常操作員資産管理和更新周期的一部分。

3.17 鑒于良好的軟體工程和網絡安全實踐的不足，以及華為通過其宣布的轉型計劃和目前未知的研發過程。很有可能對英國新産品或英國新産品的主要軟體版本進行安全風險管理會更困難。根據 HCSEC 已經開展的工作，NCSC 認為很可能 HCSEC 尚未檢查的産品中會出現新的軟體工程和網絡安全問題。

3.18 差勁的軟體工程和網絡安全流程會導緻安全和品質問題，包括漏洞。HCSEC 中相對較小的團隊發現的漏洞的數量和嚴重性，以及體系結構和建構問題，是一個特别值得關注的問題。如果攻擊者知道這些漏洞并有足夠的通路權限來利用它們，它們可能會影響網絡的運作，在某些情況下導緻網絡停止正常運作。其他影響可能包括能夠通路使用者流量或重新配置網絡節點。然而，大多數英國營運商實施的架構控制限制了攻擊者與任何未明确向公衆公開的網絡元素進行通信的能力，而其他措施的實施加大了利用漏洞的難度。這些體系結構控制以及英國營運商對網絡的營運和安全管理在未來幾年中仍然至關重要。這些發現是關于基本的工程能力和網絡安全問題會導緻一些漏洞，這些漏洞可能被一系列攻擊者利用。NCSC 不認為這些缺陷是中國政府幹預的結果。

第三節（b）：支援性技術證據

二進制溯源與軟體一緻性

3.19 確定 HCSEC 檢查的源代碼恰好是編譯到英國網絡裝置中執行的二進制檔案的源代碼一直是緩解政策的一部分。如果沒有一個過程顯示 HCSEC 檢查的源代碼和建構環境惟一地生成部署在英國網絡中的二進制檔案，就不可能在使用的産品的安全性和完整性方面提供端到端的保證。在華為極其複雜的建構過程中，二進制一緻性被視為獲得這種保證的一個中間步驟。值得注意的是，源代碼到二進制連結的保證絕不能保證工程品質或安全性。之前的監督委員會報告了實作二進制一緻性的新過程的詳細進展，即能夠建構一個産品，從 HCSEC 的源代碼到一個與華為在中國研發的通用可用性 (GA)（譯者：General Availability, 正式釋出的版本，在國外都是用 GA 來說明 release 版本的）版本等效 (不一定相同) 的二進制版本。在上一份報告中，記錄了單個産品——寬帶頂端器——已經成功地建立了可重複的建構，并且該版本的部署迫在眉睫。不幸的是，由于特定于版本的依賴關系，目前英國的部署無法滿足這些依賴關系，是以沒有一家英國營運商能夠部署這個版本。

3.20 上一份報告中設定的預期是，LTE、EPC 和光傳輸産品線的其餘三個試點産品将在 2018 年上半年成為商用、可重複的 GA 建構。雖然二進制檔案由華為研發部在一年中傳遞，并由華為标記為 GA，但 HCSEC 的單獨驗證工作尚未完成。EPC 産品的驗證工作在 2018 年底才剛剛開始，光傳輸産品已重新安排在 2019 年開始。與所有 HCSEC 方案變更一樣，這些變更代表監督委員會與 NCSC 達成一緻。

3.21 HCSEC 的任務是了解華為在建立可重複建構方面面臨的問題。在任何情況下，問題都與華為的基本建構過程有關，該過程沒有提供端到端的完整性，不提供良好的配置管理，不提供跨版本軟體元件的生命周期管理，使用不推薦的和不支援的工具鍊（其中一些是不确定的），以及建構環境中的不幹淨，其中許多 HCSEC 無法輕松重新建立。考慮到基礎建構過程和驅動它的客戶管理和工程過程中的基本問題，不清楚在繼續二進制一緻性方案時是否有任何實用性。HCSEC 和 NCSC 一緻認為，作為更廣泛的軟體工程和網絡安全轉型的一部分，從頭開始重新設計建構過程的努力将得到更好的投入。NCSC 的意圖仍然是，在英國部署的所有産品都将具有可重複的版本，并且 HCSEC 将能夠定期顯示安裝在英國網絡中的二進制檔案與可以根據 HCSEC 持有的源代碼建構的二進制檔案之間的等效性，這與管理良好的軟體工程過程通常是一樣的。最近對這四個試點産品的研究表明，鑒于華為目前的建構過程，目前這在任何有用的規模上都是不切實際的。 NCSC 已告知監督委員會，除非并且直到建構過程發生根本性變化，否則隻能對目前在英國部署的裝置提供有限保證。

3.22 英國營運商界仍對華為提供的類似版本軟體的一緻性表示擔憂。在某些情況下，建構是在華為釋出之前由營運商提供的營運商預期的最終配置中進行測試的。雖然這提高了預期配置的可靠性，但它可能掩蓋了本報告中詳述的嚴重問題，當配置受到幹擾或漏洞被利用時，這些問題将影響網絡性能，進而對網絡造成安全或可用性影響。通過操作的真正一緻性要求糾正此報告中的問題。

配置管理

3.23 正如 2018 年報告中所詳述的，監督委員會和 NCSC 要求華為研發部門開展更多的二進制溯源方案所需的工作，HCSEC 将提供驗證的。随着這項工作的進展，研發團隊提供越來越多的預期之外的元件。要求 HCSEC 進行分析，以揭示導緻所遇到問題的潛在系統性問題。他們發現了以下缺陷：

建構過程中使用的虛拟機的配置管理較差。具體來說，虛拟機在建構開始時并不幹淨，有許多包含（有時不相關）源代碼、以前建構的元件和其他雜項。
建構環境（包括工具鍊）的配置管理較差，有時甚至不存在。工具在建構環境或不需要的環境中安裝多次。許多工具明顯不受支援，并且具有不受歡迎的屬性，例如基于環境變量值的非确定性編譯或優化。
源代碼的配置管理較差。這展現在兩個廣泛的領域。首先，配置管理在開發團隊之間的應用并不一緻。産品代碼與平台代碼的管理方式不同，二者與第三方元件的管理方式也不同。其次，內建到整個産品體系結構中非常差，元件有多個副本和版本，顯然版本相同的元件包含顯著差異，元件之間的循環依賴性和某些元件在整個産品增量之間的版本中回退。

3.24 NCSC(當時的 CESG) 在 2010 年首次要求華為進行适當的配置管理，此後華為一直在投資該流程，此前監管委員會的報告詳細介紹了華為在這一領域的工作。然而，由于在此期間所進行的各種技術工作，已經發現了額外元件，這表明在整個公司範圍内這種推動并不一緻，而且在工作期間配置項也沒有得到合理化。2016 年，HCSEC 應 NCSC 的要求撰寫了一份報告，概述了其中的許多問題，但華為當時拒絕了這些問題。從 HCSEC 和 NCSC 在監督委員會主持下所做的後續工作來看，現在很明顯 2016 年報告中所發現的問題仍然存在，而且是貫穿公司産品線的系統性問題。于這些問題，NCSC 已經告知監督委員會，目前華為提供的産品沒有端到端的完整性，對華為了解任何給定建構内容的能力缺乏信心。或者能夠對已發現的問題進行真正的根本原因分析。

第三方元件支援問題

3.25 各方已投入大量精力，充分了解先前報告中提出的關于支援特定第三方軟體元件的問題。這一問題與廣泛使用的第三方實時作業系統的各種舊版本和即将過時的主流支援版本有關，華為選擇繼續在使用壽命明顯更長的産品中使用第三方實時作業系統。繼續使用依賴舊軟體元件（包括但不限于作業系統）的産品會給營運商帶來風險。此外，所讨論的作業系統基于單個記憶體空間、單使用者模型（在設計時很普遍），這進一步增加了風險，因為在此作業系統下運作的任何程序中的單個漏洞足以危害在同一作業系統執行個體中運作的任何元件。華為已從供應商處購買了一份單獨的長期支援協定，以在未來以商業上可行的方式解決漏洞，但單一記憶體空間、單一使用者上下文安全模式帶來的潛在網絡安全風險仍然存在。保持元件最新并根據供應商版本更新版本是行業最佳實作。監督委員會和英國營運商已明确表示，長期依賴英國的這一作業系統是不可接受的，必須建立一條更新路徑。在撰寫本文時，NCSC 還沒有看到華為為緩解這一問題而制定的可信計劃，也沒有看到一條更新到可支援的作業系統的途徑，該作業系統具有适合現代電信營運商級通信系統的安全模式。在制定可靠的計劃之前，營運商将繼續進行特殊工作以降低持續風險。

更廣泛的元件和生命周期管理問題

3.26 在華為上海工廠舉行的 2018 年 6 月監督委員會會議上，會議結束後增加了技術跟進日程，以更好地了解更廣泛的元件和生命周期管理戰略，包括上文詳述的作業系統問題。

3.27 第一項工作是圍繞華為的意圖，将即将脫離主流支援的作業系統轉移到他們自己的基于開源 Linux 核心的實時作業系統上。在上海進行審查後，NCSC 得出結論，它沒有足夠的證據對華為自己的實時作業系統的長期持續工程充滿信心。現有應用程式代碼移植到更現代的作業系統記憶體和安全模型中存在內建風險。這會導緻跨平台的風險，需要謹慎注意修複，特别是在某些情況下可能需要新硬體。需要做一些工作來權衡一個過時的作業系統的已知風險與更改到另一個作業系統的風險以及所有這些風險。對于操作者來說，這是一個非常困難的點。稍後将詳細介紹。

3.28 第二項工作是确定更廣泛的元件和生命周期管理是否顯示出類似的問題。自從監督委員會會議在上海召開以來，工程師們有可能在現場對實時開發系統進行操作，以顯示實時證據。。華為提供了預期的流程和一些進階别的證據，表明它正在被遵循。然後，NCSC 選擇了一個常用的元件 OpenSSL 庫，并在華為開發資料庫上執行了特定的查詢。這表明，允許在産品中使用的 OpenSSL 版本數量無法管理，包括不在主分支上、具有已知漏洞和不受支援的版本。（譯者：為元件和産品建立并維護有效的可追溯系統十分重要）向監督委員會報告的結論是，華為的基本工程流程沒有正确管理元件使用或生命周期維持問題，導緻産品總體上無法支援。

3.29 監督委員會在 9 月份的會議上明确表示這是無法接受的，并重申了過去 12 個月内華為要求從根本上改造其軟體工程和網絡安全流程的要求。

LTE-eNodeB 的改進試驗

3.30 在華為上海舉行的 2018 年 6 月監督委員會會議上，HCSEC 負責分析 LTE eNodeB 兩個版本之間的軟體工程和網絡安全品質變化。在華為計劃的實施過程中，正在執行的改進過程通常是在後期版本代碼完成時嵌入的。為給華為提供改進計劃的時間，推遲了向 NCSC 送出本報告，但 NCSC 在 9 月份的董事會會議上提出要求，因為在确定根本原因或改變開發過程的行動舉措方面缺乏進展。

3.31 期望軟體的後期版本完美無缺是不現實的，但 NCSC 希望看到廣泛和一緻的改進。審查顯示，兩個版本之間的代碼重複已經顯著減少，一個開源元件的副本數量也顯著減少。不幸的是，産品的一般軟體工程和網絡安全品質仍然顯示出大量的主要缺陷：

廣泛不遵守基本的安全編碼實踐，包括華為自 2013 年起強制執行的内部标準，這使得漏洞的可能性更大。這一點在不同版本之間有所降低，但仍然引起關注；
大量錯誤使用安全記憶體操作功能，顯著增加了記憶體安全漏洞的可能性。這一點在不同版本之間有所降低，但仍然引起關注；
在執行算術運算（包括邊界計算）時，大量濫用有符号 / 無符号類型并強制轉換為不同的變量大小，顯著增加整數溢出和下溢漏洞以及相關緩沖區大小漏洞的可能性；
軟體元件導入管理不善，使得支援性和生命周期安全非常困難；
不适當地抑制靜态分析工具發出的警告，潛在地隐藏漏洞；
廣泛使用固有的不安全和禁止的記憶體操作功能，進一步增加了記憶體安全漏洞的可能性。這一點在不同版本之間有所降低，但仍然引起關注；
不可管理的建構過程，包括過期的工具鍊。

3.32 從廣泛的報告中選取兩個具體的例子，說明所發現問題的規模。

3.33 報告分析了常用和維護良好的開源元件 OpenSSL 的使用情況。OpenSSL 通常是在安全方面是相關重要的，它處理來自網絡的不可信的資料，是以保持元件的最新版本非常重要。在該軟體的第一個版本中，有 4 個不同 OpenSSL 版本的 70 個完整副本，從 0.9.8 到 1.0.2k(包括來自供應商 SDK 的一個版本)，其中 14 個版本的部分副本，從 0.9.7d 到 1.0.2k，這些部分副本編号 304。10 個版本的片段 (範圍從 0.9.6 到 1.0.2k) 也可以在整個代碼庫中找到，它們通常是為導入某些特定功能而複制的小檔案集。也有大量的檔案, 再蔓延到整個代碼庫, 開始生活在 OpenSSL 庫 3.34, 華為已經修改。在以後的版本中, 隻有 6 份 2 不同 OpenSSL 版本, 5 是 1.0.2k 從一個供應商和一個叉 SDK。還有 17 個版本的部分拷貝，從 0.9.7d 到 1.0.2k 不等。來自 10 個不同版本的 OpenSSL 的片段和經過華為修改的 OpenSSL 派生檔案都保留在代碼庫中。更令人擔憂的是，較晚的版本似乎包含易受 10 個公開披露的 OpenSSL 漏洞攻擊的代碼，其中一些漏洞可以追溯到 2006 年。這表明由于配置管理、産品體系結構群組件生命周期管理不善，導緻缺乏可維護性和安全性。

3.35 報告還分析了産品是否符合華為自己的部分安全編碼準則，即安全記憶體處理功能。分析了 eNodeB 中一個面向公共的處理闆上的二進制圖像，以便在它們的安全和不安全變體中直接調用 memcpy（）-like、strcpy（）-like 和 sprintf（）like 函數。該闆處理與不受信任的接口的通信，預計将以一種健壯和防禦性的方式對其進行編碼。在這種情況下尤其如此，因為缺乏作業系統的緩解措施。

3.36 總結：

直接調用 17 個不同的 safe memcpy（）類函數超過 5000 次，直接調用 12 個不同的 safe memcpy（）類函數超過 600 次。大約 11% 的 memcpy（）類函數直接調用是不安全的變量。
直接調用 22 個不同的 safe strcpy（）類函數超過 1400 次，直接調用 9 個不同的不安全 strcpy（）類函數超過 400 次。大約 22% 的 strcpy（）類函數直接調用是不安全的變量。
有超過 2000 個直接調用 17 個不同的 safe sprintf（）類函數，近 200 個直接調用 12 個不同的 safe sprintf（）類函數。大約 9% 的 sprintf（）類函數的直接調用是針對不安全變量的。

3.37 這些數字不包括任何間接調用，如通過函數指針等。值得注意的是，這些不安全的函數存在于二進制檔案中，是以會帶來真正的風險。

3.38 對相關源代碼的分析令人擔憂地确定了 “定義安全庫”（dest，destmax，src，count）memcpy（dest，src，count）形式的許多預處理器指令，這些指令将安全函數重新定義為不安全函數，有效地消除了為删除源代碼中的不安全函數而進行的工作帶來的任何好處。還有一些指令強制潛在安全功能的不安全使用，例如 “定義另一個”memcpy（dest，src，size）memcpy_s（（dest），（size），（src），（size））。

3.39 這種重新定義使得開發人員很難做出好的安全選擇，任何代碼審計人員的工作都異常困難。這些隻是示例，但表明華為自己的内部安全編碼準則在本産品中并沒有得到正常遵循，而且在某些情況下，開發人員可能會積極努力隐藏糟糕的編碼實踐，而不是修複它。

3.40 該分析表明，華為的軟體工程和網絡安全開發仍有重大問題需要解決。

LTE 改進計劃

3.41 在 2018 年 9 月的監督委員會會議上，董事會成員越來越擔心華為在糾正 HCSEC 和 NCSC 發現的基本問題方面缺乏進展。特别是，在過去的 12 個月中，在制定可靠的計劃以減輕英國不受支援的軟體的重要安裝基礎方面缺乏進展已變得至關重要。為了集中精力，監督委員會要求制定一項計劃來修複單一産品，最終選擇成為 LTE eNodeB。華為一直到 2018 年 10 月 19 日 - 随後延長到 10 月 26 日 - 為 eNodeB 的整治提供可靠的計劃。其目的是確定華為，HCSEC，英國營運商和 NCSC 之間能夠進行讨論，并確定在 12 月監督委員會會議之前進行改進，以便讨論該計劃。

3.42 所送出檔案的大部分内容是對 eNodeB 功能的安全性分析，主要來自 NIST SP800-187。已經确認了 HCSEC 和 NCSC 發現的問題以及一些描述基本修複的嘗試，但該檔案主要描述了華為目前的流程及其預期結果，而不是實際發現的産品和根本原因。報告的一小部分涉及對華為發展過程進行變更的計劃。遺憾的是，傳遞的計劃沒有解決所遇到的問題的規模，也沒有從根本上解決潛在的軟體工程能力問題。華為還有四周時間在與 NCSC 和英國營運商的會議上提出計劃。華為在那次會議上的發言表明，沒有取得實質性進展。在撰寫本文時，NCSC 沒有看到華為在英國使用 eNodeB 或任何其他華為産品進行補救的可靠計劃。

華為轉型

3.43 在會議讨論 LTE eNodeB 改進計劃後，NCSC 再次代表監督委員會緻函華為，尋求一個可靠的計劃，對已部署在英國的産品進行範圍性的整改，并尋求更廣泛的轉型計劃。将使這些問題不太可能在未來再次發生。NCSC 明确表示，如果沒有這樣的計劃，就不可能長期對華為的技術有信心，也不可能長期支援營運商安全使用華為的技術。

3.44 華為接受了對其軟體工程和網絡安全流程的批評，并承諾在五年内投資 20 億美元進行公司範圍的轉型，以遏制和緩解監督委員會提出的擔憂。顯然，任何這樣的投資都必須得到包括可衡量結果的計劃的支援。雖然華為全球轉型計劃的正式監督不屬于監督委員會的活動範圍，也不希望報告與英國網絡安全風險無關的更廣泛的事項，但董事會希望看到華為軟體工程和網絡安全轉型的充分細節。使 IT 部門能夠評估其有效控制和緩解已識别風險的程度的流程。在董事會重新評估其保證水準之前，特别是考慮到威脅環境和所涉及技術的日益複雜，将需要持續證據證明其對在英國使用的産品的影響。與此同時，NCSC 将建議監督委員會繼續為目前在英國部署的裝置提供有限的安全保障。NCSC 和英國營運商将繼續與華為合作，為英國的裝置制定一個可靠和可持續的修複計劃，而不受華為任何更廣泛的改造的影響。在極端情況下，NCSC 可以指導華為如何在華為的正常開發和支援流程之外修複已經在英國基礎設施中的特定産品，進而将英國目前的風險降低到更合理的水準。這不是一種可持續的辦法，隻有一個良好的實踐軟體工程和網絡安全開發過程才能為未來提供保證的基礎。

3.45 重要的是，NCSC 目前無法預測華為未來産品在轉型期間和轉型後可能的技術結構和特點。此外，考慮到華為的開發過程在不同的産品組之間是不一緻的，NCSC 不能假定在英國使用的産品組合的發現可以轉化為其他産品。英國對華為裝置在英國電信領域使用的緩解戰略 (HCSEC 和監督委員會是其中之一) 預計，行業良好實踐軟體工程和網絡安全開發及支援流程将作為基礎。華為目前沒有達到這一基本預期。由于 HCSEC 的營運，英國營運商和 NCSC 對目前部署的華為裝置産生的風險有着重要而詳細的了解。如果沒有相同詳細程度的重要新裝置和基于現有知識的假設無法重複使用（由于不一緻的開發實踐），将使風險管理更加困難。

3.46 考慮到這些問題的規模，要開始在華為的軟體工程和網絡安全品質及開發過程中樹立信心就必須有證據表明多個版本和多個産品都在不斷改進。在現實世界中，一個單一的 “良好” 建構将無法為産品的長期安全性和可持續性提供信心。華為在有關轉型計劃的公開聲明中表示，這将需要 5 年時間。NCSC 的技術總監認為這與最佳情況估計大緻相符。監督委員會承認，在未來年度報告中，當涉及報告與英國網絡安全風險相關事項的進展時它将繼續考慮華為關于特定事項具有商業敏感性和 / 或與英國網絡安全風險無關的任何陳述。其将繼續适當考慮任何此類陳述，前提是其始終能夠按照附錄 A 所包含的職權範圍的要求，适當履行其報告英國網絡安全風險的義務。

第四節：董事會的工作：獨立性保證

略

任命安永會計師事務所為審計師

略

第五部分：結論

略

附錄 A：華為網絡安全評估中心監督委員會的職權範圍

略

附錄 B 2017-2018 審計中提出的問題和現狀

全文完