审查内容

虽然对华为产品的评估是基于BSI的可信规范，但纵观7年的报告可以发现，HCSEC关注的重点并不是某个具体的软件缺陷或漏洞，而是华为持续交付可信软件的能力。从2015年发布的第一期报告到2020年发布的第六期报告，HCSEC一直在跟华为强调同样的几个问题：

首先是软件构建流程一致性。HCSEC在2016年报告中指出，华为的多款运营商产品缺乏二进制等价性（binary equivalence）——即，HCSEC拿着华为提供的源代码，无法构建出与线上运行的可执行软件包等价的软件包。HCSEC提出了一个非常合理的置疑：我们对源代码做再多的审查，如果不能验证这份源码正是线上系统的源码，又如何能说这些审查是有效的呢？

2018年的报告中，HCSEC声称：在经过“大量努力”后，他们终于成功地从源代码构建出一个与正式发布的可执行软件包等价的软件包，然而这个产品尚未被任何英国运营商正式使用。其他已经投产使用的产品，HCSEC仍然无法自主构建出来。因此HCSEC认为，华为的软件构建流程缺乏端到端的可靠性，不能保障持续一致地交付可信的软件。

合理的置疑：缺乏二进制一致性，如何保障审查的有效性？

然后受到强调的是软件供应链可信性。在2018年的报告中，HCSEC记录了在华为上海研究所举行监督委员会会议期间，在华为软件研发现场获得的一手信息：在华为的一个产品中，就存在70多份OpenSSL——这是一个常用的开源组件——的完整拷贝，涉及4个不同的OpenSSL版本。在整个华为产品体系中存在“无数个”OpenSSL版本，其中一些甚至不是该组件的正式发行版本。HCSEC认为，这表明华为缺乏良好的配置管理和软件组件生命周期管理实践，会增加软件供应链风险发生的概率和管控的难度。

HCSEC对软件供应链可信的要求并非空穴来风。现代软件开发高度依赖于第三方组件、尤其是开源软件组件。虽然软件厂商往往会声称“100%自主研发”，但软件产品中绝大部分、经常多达99%的代码是以依赖的形式引入的，厂商自主编写的代码通常只占整个软件的1%左右。一个典型的现代商用软件通常会依赖几千、上万个开源组件，其中任何一个组件被发现安全漏洞，都可能给整个系统造成损害。

去年12月，一个用于记录服务器日志的开源组件Log4j被爆出安全漏洞，据估计互联网上70%以上的企业系统都因此暴露在安全风险下。如果软件研发组织不能有效地管理软件供应链，对开源软件的依赖管理混乱而无章法，软件产品的可信程度必然大打折扣。

HCSEC还一直强调软件代码编写质量。同样在2018年的报告中，HCSEC指出：“华为的软件开发人员大量地违背基本的安全编码实践，包括华为2013年推行的内部编码标准也没有得到有效执行；尽管有一些自动检测违反编码规范的工具存在，工程师却常常对工具检出的告警视而不见、甚至直接关闭某些类型的告警”。

HCSEC认为，尽管华为强制推行安全编码标准，但管理要求并没有落到实处，客观上体现为代码质量不稳定、不一致，从而削弱了华为持续地、一致地交付可信软件系统的能力。

综观HCSEC的报告，可以看到英国政府作为甲方看待可信问题的思路：软件系统的长期可信，不在于能否解决某一个两个缺陷或漏洞，而是需要建立一套持续地、一致地交付可信软件的流程和机制；而流程和机制的运行，最终要落实到乙方的组织能力和人员能力上。如果能力不足、缺乏有效的流程和机制，那么不管应对某一个具体问题多么积极主动，这个乙方供应的软件系统长期来看仍然是不可信的。

尽管HCSEC最近的报告表现出受政治影响、钻牛角尖的趋势，但这个思路、以及他们落实这个思路的治理结构和审查方式是值得我国甲方单位学习借鉴的。

被甲方倒逼出来的可信能力

华为以积极正面的态度接纳了HCSEC的批评意见，并投入了大量资源着手强化软件可信能力。

就在HCSEC措辞尖锐的2018年度报告发布后不久，任正非在2019年致全体华为员工的第一封信中就提出要“全面提升软件工程能力与实践，打造可信的高质量产品”，要求全体员工、特别是软件工程师“从最基础的编码质量做起”、“深刻理解架构的核心要素”、“重构腐化的架构及不符合软件工程规范和质量要求的历史代码”、“深入钻研软件技术”、“遵守过程的一致性”，并特别强调“全面强化以Committer角色为核心的代码审核和提交机制，代码经过更加严格和系统的审核才能合入版本”。

这可能是我国IT行业历史上首次有一家重要企业将代码层面的能力建设提到如此高的地位。同年，丁耘承诺华为将在未来3-5年投入超过20亿美元资金，用于在包括软件和硬件工程、第三方组件管理、公司文化等八个关键领域实现可信。

华为全面强化软件可信能力的具体举措大多不为外人所知，但透过零星的公开信息，仍能一窥这些举措。尤其针对HCSEC多年强调的三方面问题，华为的应对取得了明显的成效。从华为的案例，能看到在具备高度专业能力的甲方驱动倒逼下，乙方如何提升自身交付可信软件的能力。