外媒報道稱，該報告在公開發(fā)布前就已廣泛被特朗普政府高級官員們熟悉，也正是這份報告，使得被特朗普政府高級官員更加堅定了有關(guān)“華為威脅國家安全”的立場。hnyesmc

作為在Finite State公司報告中被指“危害美國國家安全”的華為公司，7月3日在網(wǎng)站發(fā)文作為回擊。hnyesmc

hnyesmc

截圖自華為官網(wǎng)hnyesmc

華為公司這篇命名為《華為PSIRT：〈Finite State供應(yīng)鏈評估〉的技術(shù)分析報告》（下稱“評估報告”）中表示，F(xiàn)inite State公司得出的結(jié)論與事實不符，并稱Finite State公司測試過程和輸出測試報告的方法與業(yè)界負責(zé)任的安全測試公司的做法相悖。hnyesmc

在評估報告中，華為對Finite State公司有違常規(guī)的做法感到驚訝和失望，并表示Finite State公司的方法存在嚴(yán)重的操作和技術(shù)缺陷，測試缺乏中立性，報告嚴(yán)重失實。華為無法確認(rèn)Finite State軟件獲取的渠道是否合法，也不能保證其獲取軟件的完整性，同時華為也未曾收到Finite State的任何溝通請求。這代表，這家Finite State公司并沒有通過華為了解這些產(chǎn)品，并拒絕在公布前將報告提供給華為。華為指出，F(xiàn)inite State公司的這份報告缺乏洞察力、完整性和準(zhǔn)確性，其做法也不是一個專業(yè)、認(rèn)真、有能力的安全公司該有的行為。hnyesmc

華為表示，公司早已建立了華為公司自有的產(chǎn)品安全應(yīng)急響應(yīng)團隊（PSIRT），負責(zé)收集、調(diào)查、內(nèi)部協(xié)調(diào)及負責(zé)任地披露華為產(chǎn)品相關(guān)的安全漏洞信息。一旦確認(rèn)漏洞，PSIRT會及時將信息傳遞給受影響產(chǎn)品的團隊，并積極跟蹤直至問題解決。hnyesmc

華為建立并實施了一套分層的端到端網(wǎng)絡(luò)安全評估流程，確保在各階段（概念、設(shè)計、開發(fā)、直到在全球客戶網(wǎng)絡(luò)中部署和維護）都對產(chǎn)品進行審視，以發(fā)現(xiàn)潛在的安全問題。hnyesmc

而Finite State聲稱其使用專有的自動化系統(tǒng)，分析了超過150萬份獨特的文件，這些文件嵌入在華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線內(nèi)558種產(chǎn)品的近1萬個固件鏡像中。hnyesmc

Finite State的報告稱，在華為設(shè)備中發(fā)現(xiàn)漏洞的比率遠遠高于競爭對手設(shè)備的平均水平，在被測試的固件鏡像中，有55%至少存在一個所謂“潛在后門”的漏洞，這類漏洞能讓了解相關(guān)固件和密鑰的攻擊者登入設(shè)備。hnyesmc

與此同時，F(xiàn)inite State還在報告描述了一個研究案例——將華為一款高端網(wǎng)絡(luò)交換機與美企Arista Networks和Juniper Networks的類似設(shè)備做了比較。研究稱，在九個比較類別中，華為的設(shè)備在六個類別上含有更高的風(fēng)險因素，而且整體上高出不少。hnyesmc

另一方面，華為還在評估報告中抨擊Finite State的報告結(jié)果，稱Finite State公司在只是在其官方網(wǎng)站公布對華為的報告中重點描述了其使用固件（二進制軟件包）靜態(tài)分析工具，分析了華為企業(yè)網(wǎng)絡(luò)500多個產(chǎn)品，和對華為的CE12800和Juniper的EX4650、Arista的7280R產(chǎn)品做了對比分析，就得出“華為產(chǎn)品安全性差、有疑似后門，安全性低于友商”的結(jié)論是十分荒謬的。hnyesmc

“評估報告未就為什么選擇華為、J和A公司作為測試樣本（做出解釋），反而沒有選擇占全球市場企業(yè)網(wǎng)份額最大的思科公司產(chǎn)品作為測試對象。對華為公司選擇了幾乎所有企業(yè)網(wǎng)絡(luò)的數(shù)百種產(chǎn)品，而只選擇了J公司和A公司的各一款產(chǎn)品，且沒有公布J公司、A公司產(chǎn)品的版本號。報告上聲稱選擇的是華為最新版本，報告中實際引用的版本均為舊版本。”華為在評估報告中這樣說。hnyesmc