外媒报道称,该报告在公开发布前就已广泛被特朗普政府高级官员们熟悉,也正是这份报告,使得被特朗普政府高级官员更加坚定了有关“华为威胁国家安全”的立场。
作为在Finite State公司报告中被指“危害美国国家安全”的华为公司,7月3日在网站发文作为回击。
截图自华为官网
华为公司这篇命名为《华为PSIRT:〈Finite State供应链评估〉的技术分析报告》(下称“评估报告”)中表示,Finite State公司得出的结论与事实不符,并称Finite State公司测试过程和输出测试报告的方法与业界负责任的安全测试公司的做法相悖。
在评估报告中,华为对Finite State公司有违常规的做法感到惊讶和失望,并表示Finite State公司的方法存在严重的操作和技术缺陷,测试缺乏中立性,报告严重失实。华为无法确认Finite State软件获取的渠道是否合法,也不能保证其获取软件的完整性,同时华为也未曾收到Finite State的任何沟通请求。这代表,这家Finite State公司并没有通过华为了解这些产品,并拒绝在公布前将报告提供给华为。华为指出,Finite State公司的这份报告缺乏洞察力、完整性和准确性,其做法也不是一个专业、认真、有能力的安全公司该有的行为。
华为表示,公司早已建立了华为公司自有的产品安全应急响应团队(PSIRT),负责收集、调查、内部协调及负责任地披露华为产品相关的安全漏洞信息。一旦确认漏洞,PSIRT会及时将信息传递给受影响产品的团队,并积极跟踪直至问题解决。
华为建立并实施了一套分层的端到端网络安全评估流程,确保在各阶段(概念、设计、开发、直到在全球客户网络中部署和维护)都对产品进行审视,以发现潜在的安全问题。
而Finite State声称其使用专有的自动化系统,分析了超过150万份独特的文件,这些文件嵌入在华为企业网络产品线内558种产品的近1万个固件镜像中。
Finite State的报告称,在华为设备中发现漏洞的比率远远高于竞争对手设备的平均水平,在被测试的固件镜像中,有55%至少存在一个所谓“潜在后门”的漏洞,这类漏洞能让了解相关固件和密钥的攻击者登入设备。
与此同时,Finite State还在报告描述了一个研究案例——将华为一款高端网络交换机与美企Arista Networks和Juniper Networks的类似设备做了比较。研究称,在九个比较类别中,华为的设备在六个类别上含有更高的风险因素,而且整体上高出不少。
另一方面,华为还在评估报告中抨击Finite State的报告结果,称Finite State公司在只是在其官方网站公布对华为的报告中重点描述了其使用固件(二进制软件包)静态分析工具,分析了华为企业网络500多个产品,和对华为的CE12800和Juniper的EX4650、Arista的7280R产品做了对比分析,就得出“华为产品安全性差、有疑似后门,安全性低于友商”的结论是十分荒谬的。
“评估报告未就为什么选择华为、J和A公司作为测试样本(做出解释),反而没有选择占全球市场企业网份额最大的思科公司产品作为测试对象。对华为公司选择了几乎所有企业网络的数百种产品,而只选择了J公司和A公司的各一款产品,且没有公布J公司、A公司产品的版本号。报告上声称选择的是华为最新版本,报告中实际引用的版本均为旧版本。”华为在评估报告中这样说。
