英国发现华为技术存在“影响国家层面”重大缺陷

根据一份政府报告，英国安全专家在分析中国网络公司华为的技术时发现了“具有重大意义的缺陷” 。

华为网络安全评估中心（HCSEC）的年度报告（PDF）批评了华为的软件工程和网络安全实践，该报告由英国政府和华为共同建立，旨在评估在英国网络中使用的设备。

该中心于2010年成立，旨在降低使用华为技术作为英国关键国家基础设施的一部分的任何潜在风险。因此，HCSEC年度报告提供了对华为公司的软件、工程和网络安全流程的详细分析。

报告称:“HCSEC的工作继续确认了华为在软件开发方面存在的问题，这些问题给英国运营商带来了极大的风险，需要持续的管理和缓解。”该报告还表示，在上一份报告中提出的问题上，进展有限。

总体而言，监管该中心的董事会表示，它只能提供“有限的”保证，确保从长期来看，华为参与英国关键网络给英国国家安全带来的所有风险能够得到充分缓解。

“HCSEC发现的漏洞数量和严重程度、以及架构和构建问题，是一个特别值得关注的问题。”如果攻击者知道这些漏洞，并有足够的途径利用它们，他们可能会影响英国网络的运行，在某些情况下导致它停止正常运行。”

报告说，今年在HCSEC的工作中发现了一个“具有重大影响的缺陷”。

一旦发现缺陷，HCSEC通常会将其报告给电信公司NCSC，并报告给华为进行修复。

但该报告指出:“在极少数情况下，如果该漏洞的影响对国家具有重大意义，那么华为系统漏洞的全部细节可能会推迟公布，以便让英国社区评估和减轻影响。”这发生在2019年。”据BBC报道，这个漏洞与宽带有关，但官员们不相信有人利用了它。

该报告称，其调查结果指的是基本的工程能力和网络安全问题，而不是故意引入的漏洞。报告称:“NCSC不认为被识别的缺陷是中国政府干预的结果。”

但该公司也表示，在HCSEC分析的产品中仍发现重大质量问题。

“我们发现了持续存在的低劣编码行为的证据，包括华为继续没有遵守其内部安全编码准则的证据。”尽管这与前几年相比有一些小的改善，”报告说。

HCSEC表示，在2019年，它发现了固定接入产品中“关键的、面向用户的漏洞”。华为公司表示，这些问题是由“特别糟糕的代码质量”和使用旧操作系统造成的。

该报告称:“鉴于华为工程实践中的缺陷，这些漏洞是更有可能出现的问题的一个严重例子，在2019年期间，英国运营商需要采取特别行动来降低风险。”

报告补充称，尽管此后华为修复了在英国的特定漏洞，但这给该产品带来了另一个重大问题，进一步证明华为的工程流程仍存在缺陷。

华为表示，将继续“大量”投资以改进其产品。该公司表示:“报告承认，虽然我们的软件转型过程还处于起步阶段，但我们在提高软件工程能力方面已经取得了一些进展。”该公司还表示，所有供应商都应该根据同样强大的基准进行评估，“以提高所有人的安全标准”。

该报告只涵盖2019年。然而，今年华为作为英国网络技术关键供应商的地位开始发生重大变化。今年7月，政府要求电信运营商从2021年起停止从这家中国公司购买5G设备，此举在很大程度上是出于对国家安全的担忧。电信公司还被要求在未来7年将华为的所有技术从其5G网络中移除。