英国安全专家在分析中国网络公司华为的技术时发现了一个“国家意义”的缺陷,根据a政府报告
华为的软件工程和网络安全实践受到了href=“https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/923309/Huawei_Cyber_Security_Evaluation_Centre_547;HCSEC_usupervision_Board--u年度报告_2020.pdf来自华为网络安全评估的“target=”noopener noreferrer nofollow“data component=”externalLink“>年度报告(PDF)该中心由英国政府和网络巨头成立,旨在评估英国网络中使用的设备。
该中心于2010年开业,旨在降低将华为技术作为英国关键国家基础设施一部分的潜在风险。因此,HCSEC的年度报告对公司的软件、工程和网络安全流程进行了详细的分析。
“HCSEC的工作持续发现了华为软件开发方法中的相关问题,这些问题给英国运营商带来了显著增加的风险,这需要持续的管理和缓解措施,“报告说,并补充说,在上一份报告中提出的问题上取得的进展有限。
总体而言,监督该中心的董事会表示,它只能提供“有限”的保证,即华为参与英国关键网络给英国国家安全带来的所有风险都能得到充分缓解。
“发现的漏洞数量和严重程度不断增加,加上架构和构建问题,由HCSEC中相对较小的团队负责是一个特别值得关注的问题。它警告说,如果攻击者知道这些漏洞并有足够的权限利用它们,它们可能会影响英国网络的运行,在某些情况下会导致网络停止正常运行。
报告称,在HCSEC今年的工作中发现了一个具有“国家意义”的缺陷。
一旦发现缺陷,HCSEC通常会向电信公司NCSC和华为报告,以修复缺陷。
但报告指出:“在极少数情况下,该漏洞的影响具有国家意义,华为可能会推迟公布该漏洞的全部细节,以便英国社会评估和减轻影响。这发生在2019年。“据BBC报道,这一缺陷与宽带有关,但官员们不相信有人利用它。
报告称,其发现涉及基础工程能力和网络安全卫生–不是故意引入的缺陷。”NCSC不认为所发现的缺陷是中国国家干预的结果,”报告说。
但它也表示,在HCSEC分析的产品中仍然发现了主要的质量问题。
“发现了不良编码实践的持续证据,包括华为继续未能遵循其内部安全编码准则的证据。报告称,尽管与前几年相比有了一些小的改进,
HCSEC表示,在2019年,它在固定接入产品中发现了“关键的、面向用户的漏洞”。它说,这是由于“代码质量特别差”和使用旧操作系统造成的。
“鉴于华为工程实践中的缺陷,这些漏洞是更可能发生的问题的一个严重例子,2019年英国运营商需要采取非常措施来降低风险,
虽然华为已经修复了英国的具体漏洞,报告还说,这给产品带来了另一个重大问题,进一步证明华为的工程流程仍然存在缺陷。
华为表示,它将继续“大量”投资来改进产品。”报告承认,虽然我们的软件转型过程处于初级阶段,但我们在提高软件工程能力方面取得了一些进展,”该公司表示,并补充说,所有供应商都应根据同样强大的基准进行评估,“以提高每个人的安全标准”。
该报告仅涵盖2019年。然而,今年华为作为英国主要网络技术提供商的地位开始发生重大变化。今年7月,中国政府要求电信运营商从2021年起停止向这家中国公司购买5G设备,此举主要是出于国家安全考虑。电信公司还被要求在未来七年内将华为的所有技术从其5G网络中移除。
