|
原新闻出处: https://arstechnica.com/information-technology/2019/03/uk-cyber-security-officials-report-huaweis-security-practices-are-a-mess/ 先不说什么,本人读了这篇报道觉得作者心情有点酸酸的。到处挑华为的毛病。话说澳洲和美国的网络安全问题也有很多,不知道西方世界为什么抓住中国华为不放。 用了Google自动翻译。原文内容如下: ================================================================================================ 2010年11月,中国网络和电信巨头华为与英国政府达成协议,允许对华为的硬件和软件进行广泛的安全审查 - 此举旨在消除对该公司对英国构成安全风险的担忧。网络。从那时起,华为网络安全评估中心(HCSEC)为英国官员提供了一个了解公司信息安全实践的窗口。英国官员并不一定喜欢他们所看到的。 在今天发布的一份报告中,HCSEC监督委员会 - 一个由国家网络安全中心,GCHQ和其他机构的官员组成的小组,以及华为的一位高级管理人员警告称,华为未能对其软件进行长期承诺的更改。改善安全性所需的开发和工程实践。 “HCSEC的工作继续确定华为软件开发方法中的问题,为英国运营商带来了显着增加的风险,”监督委员会成员指出。自从去年发现这些问题以来,“没有取得任何重大进展”。 此外,董事会指出,HCSEC的审计和审查发现“华为工程实践中存在更多重大技术问题”。虽然华为已承诺在纠正其问题方面进行重大投资 - 承诺在五年内投资20亿美元用于改进安全工程 - 董事会仍然不相信他们的审查: 目前,监督委员会还没有看到任何让华盛顿成功完成其转型计划要素的能力,而该计划已提出解决这些潜在缺陷的方法。理事会将要求持续证明HCSEC和NCSC验证的更好的软件工程和网络安全质量。总体而言,监督委员会只能提供有限的保证,即华为参与英国关键网络对英国国家安全的所有风险可以在长期内得到充分缓解。 尽管美国政府坚称华为设备存在安全威胁,但华为准备在英国部署5G无线通信方面发挥重要作用。特朗普政府认为,由于华为与中国政府和军方的联系,该公司的软件和硬件可能被中国国家安全部或人民解放军用于间谍活动或破坏活动。 然而,HCSEC出土的问题表明,更大的威胁是华为的装备可能被任何一个关心努力的人所攻击。而且由于华为如何运行其软件开发,因此无法对任何一种产品的安全性进行全面认证。 该报告引用的一个主要问题是,华为网络设备的很大一部分仍然依赖于Wind River的VxWorks实时操作系统(RTOS)5.5版本,该系统已经达到“寿命终结”并且很快就会不再受支持。华为已从VxWorks购买了高级长期支持许可证,但这种支持在2020年就已用完。这可能会使电信运营商安装的硬件面临风险。 虽然华为正在开发自己的RTOS以最终取代VxWorks,但有理由关注该操作系统的安全性 - 因为华为的软件开发过程并不完全可靠。HCSEC报告称,华为使用的软件构建过程导致软件映像之间存在不一致。换句话说,产品附带的指纹变化很大的软件,因此根据校验和确定代码是否相同是不可能的。 尽管英国努力让华为改进其可追溯到2010年的配置管理流程,但该公司在产品与产品之间不一致地应用了配置管理。例如,在董事会现场访问华为上海开发中心期间,发现允许在产品中使用“无法管理的”OpenSSL库版本 - 包括一些已知漏洞的产品。报告指出:“向监督委员会报告的结论是,华为的基本工程流程无法正确管理组件使用或生命周期维持问题,导致产品不受支持。” 因此,董事会指出,“很难确信类似的华为设备的不同部署大致相当安全。”缺乏一致的软件构建意味着很难(最多)确定是否在一个版本中发现了一个错误软件已在另一个版本中完全修补。 关于RTOS还有一些其他挑战。华为的内部RTOS基于Linux内核,目前尚不清楚它与现有华为代码的集成程度。国家网络安全中心的官员对华为上海工厂的RTOS开发工作进行了审查,并得出结论:他们“没有足够的证据对华为自己的实时操作系统的长期持续工程有信心。”董事会发现,面对将为VxWorks RTOS(具有单一用户,单内存空间架构)而编写的旧软件集成到基于Linux的操作系统的挑战,这对网络运营商构成了长期风险。 |
