如何看待美国网络公司思科被发现使用华为开源代码,将华为的加密证书放入交换机?
事件的发现与技术细节:
据报道,分析人士在对思科的一些交换机设备进行深入审查时,发现了存在疑似华为开源代码的痕迹。更具体地说,是在一些设备的固件中,发现了与华为设备相似的代码片段。而更令人关注的是,在这些代码中,还发现了华为的加密证书。
简单来说,加密证书就像一把数字钥匙,用于验证设备身份、确保通信安全。通常情况下,一个网络设备厂商会使用自己颁发的证书来标识和保护其产品。而在这里,华为的加密证书出现在了思科的产品中,这无疑是一个不寻常的现象。
为什么会出现这种情况?可能的解释与解读:
1. 开源代码的“善意”使用与“意外”包含:
开源社区的惯例: 华为,和许多其他科技公司一样,积极参与开源社区,并贡献了大量代码。许多网络设备操作系统(如Linux)都基于开源项目,并且会整合各种开源组件。华为在网络协议、安全加固等领域也贡献了不少代码。
代码重用与整合: 在开发复杂的网络设备操作系统时,厂商常常需要整合大量的开源代码库。思科作为一家大型企业,其研发团队在构建自己的操作系统时,可能在不知情或无意中,从某个开源项目中“借用”或“复制”了包含华为加密证书的代码片段。这种“意外”的包含,可能源于代码库的混乱、版本管理不善,或者是在某个中间环节的代码整合过程中出现的疏漏。
“善意的”学习与参考: 也有可能,思科的工程师在研究华为的技术实现时,借鉴了其部分开源代码,并在整合过程中未能彻底清理相关信息,包括嵌入的证书。这在技术研究的早期阶段并非不可能,尤其是在对竞争对手的技术进行分析时。
2. 安全漏洞与潜在的后门担忧:
加密证书的意义: 如前所述,加密证书的核心作用是身份验证和安全保障。如果思科设备中嵌入了华为的证书,理论上可能会引发出一些安全担忧,尽管具体影响需要更详细的技术分析。
“后门”的猜测: 一些分析人士会立即联想到“后门”的可能性。即,华为是否通过这种方式,在思科设备中留下了某种潜在的控制或监视的途径?但需要强调的是,仅仅发现华为的加密证书,并不能直接证明存在后门。一个证书本身,并不具备执行恶意代码的能力。它更像是一个身份标识。
风险管理与供应链安全: 即使没有恶意意图,这种现象也暴露了供应链安全中存在的风险。当一家厂商在其产品中使用了另一家公司的加密证书,会增加追踪和管理安全事件的难度。一旦华为的证书出现安全问题,可能间接影响到使用该证书的思科设备。
3. 法律与合规性问题:
知识产权: 即使是开源代码,也可能存在特定的许可协议。如果思科在未经许可或未遵循许可协议的情况下使用了华为的代码,可能构成知识产权侵权。
透明度与披露: 即使是无意的,但这种情况下,思科的研发过程缺乏透明度,未能及时发现并纠正这种包含非自身标识符的情况,也可能引发对其内部流程的质疑。
思科的回应与后续影响:
面对这样的指控,思科通常会进行内部调查并给出官方回应。他们的回应会着重于解释技术上的原因,例如开源组件的整合、第三方库的依赖等。他们也会强调其产品的安全性,以及会对发现的问题进行修复。
技术解释: 思科可能会表示,这是一种意外的、非故意的集成,可能源于某个开源软件的引入,该开源软件的开发者在其中包含了华为的证书,而思科在整合过程中未能完全审查或清理。
安全承诺: 思科会重申其对网络安全的高度重视,并承诺会立即对受影响的产品进行安全更新和修复,以消除任何潜在的风险。
透明度: 他们可能会承诺加强内部的代码审查和供应链管理流程,以防止类似事件再次发生。
事件的意义与启示:
1. 开源世界的复杂性: 这个事件再次凸显了在开源软件世界中,代码的来源、许可和整合的复杂性。即使是声誉卓著的公司,也可能在管理大量的开源组件时遇到挑战。
2. 地缘政治下的科技竞争: 在当前全球地缘政治日益紧张的环境下,科技公司的任何“异常”行为都容易被放大和解读,甚至被政治化。关于华为的各种审查和讨论,很大程度上也与国家安全和技术主导权的争夺有关。
3. 供应链安全的重塑: 这个事件无疑会促使所有网络设备厂商更加重视供应链安全,对使用的每一个软件组件、每一个证书进行更加严格的审查和溯源。
4. 对思科声誉的影响: 即使思科能够给出令人信服的技术解释,并及时修复问题,这一事件也可能会在短时间内对其声誉造成一定影响,引发客户对其产品安全性的额外关注。
总结:
思科被发现使用华为开源代码并包含华为加密证书的事件,表面上看是一起关于技术整合和代码管理的问题,但其背后牵扯到开源社区的运作、供应链安全、企业责任,以及在全球科技竞争大背景下的地缘政治因素。
理解这一事件,不能简单地将其定性为“后门”或“间谍行为”,而是需要从技术细节出发,结合合规性、安全管理等多个维度进行分析。思科的解释和后续的修复行动,将是决定这一事件最终走向的关键。而对于整个行业来说,这也无疑是再次敲响了警钟,提醒大家在拥抱开源技术的同时,必须保持高度的警惕和审慎。
网友意见
有没有人提到思科的WRT54G这款产品的故事?
WRT54G是Cisco的一个传奇无线路由器产品。当年有好事者在 Linux Kernel Mailing List 搜索 WRT54G,发现它的操作系统是基于Linux,然而Linux 基于GPL 发布许可证,就是 GNU General Public License(这是世界上最著名的开源协议之一)。该许可证规定Cisco 应该把WRT54G的OS的源代码公开。最后,2003 年的时候,基于公众压力Cisco (子公司Linksys)公开了WRT54G 的源代码。
现在的大量无线路由器都用了xx-WRT(最有名的就是open-WRT)的代码,而xx-WRT又是WRT54G那份源代码辗转之后的东西。所以,你家里的某个无线路由器很有可能现在就在跑着WRT54G这份代码的子孙辈儿。如果当年不是开源社区拿着GPL协议迫使Cisco开源了WRT54G代码,你可能现在就要花不少笔钱才能买到你家的无线路由器咯。
要么Cisco当年就不要用linux,要么用了linux就应当按GNU协议的规定公开源代码。但是Cisco就是悄悄地用了linux的代码,然而却没有按GNU协议规定公开代码,直到被人抓到证据才被迫公开。这个,这个,就是文化人的事情了,而且还是美国的文明人,能叫偷吗?!
你以为美国人的道德水平有多高啊?呵呵
>>>>>>>>>>>>>
回到正题。
第一点,Cisco用的是开源代码,但是开源代码并不意味着就没有知识产权问题!这是很多人经常误解的地方。有的开源软件是有传染性的,你用了它的代码之后就必须把你自己的代码也开源!有的开源软件是要求使用者在其产品上标注原始创作者名字的,这是署名权。还有些开源代码是你可以个人免费使用或公益免费使用,但是不允许商业使用!等等等等。所以,要看Cisco用的这部分华为代码具体是什么开源协议、以及Cisco是怎么使用这些代码的,才能知道它是不是侵犯了华为的知识产权。不能简单地认为“我用的是开源软件,没有知识产权问题”。
第二点,即使Cisco没有侵犯华为的知识产权,但是他使用了华为的测试用例代码,这就证明了一件事情:华为的这段代码质量确实好!这就像是越战时期很多美国军人放着制作精良的美制M16,转而去用苏制AK47一样——来自敌人的肯定,才是最高级的赞扬。所以即使不侵权,Cisco也是帮华为做了个广告了。
第三点,测试代码跟随产品流到外面!对于重要的通信设备来说,这就是严重事故!因为现在的通信设备已经非常复杂,客户未必有能力对你的产品进行全面的测试,设备厂商自己能否进行可靠的研发、测试和生产流程管控,就成了客户非常关心的事情。如果你今天不小心把测试代码漏出来了,那你明天会不会把功能少编译两个?后天你会不会把芯片少焊两片?卧槽,这就让客户很不放心了呀!所以即使其他什么问题都没有,光是测试代码随产品流到外面,这就是大问题了!
>>>>>>>>以下非正文,欢迎阅读<<<<<<<<
我的其他文章,带您了解新鲜的科技玩意儿。
2002年6月亚特兰大商展会华为宣布正式进军北美,而思科ceo却在台下目睹了全程。从中国市场到进军非欧,再到大本营,这对思科的根本构成严重威胁。以至于钱伯斯表示“未来思科只有一个敌人,那就是华为”。从始拉开了思科对华为的主动进攻,发动专利战,结果最终以和解收场。
所以,如何看待?当然是,2003年都搞不倒华为,都2019年了,你觉得思科还有几分战斗力?以华为的执行力,速度。完全有能力完成反杀,到最后在各种标准,证书使用开源的华为不很正常?linux中华为现在是重要贡献者。在安卓生态中,推动安卓更新的力量华为占了大部分,提供出开源的文管,智慧引擎,抽屉化系统思路。通通在安卓p中有。思科引用不是很正常?有天你告诉我,IBM,高通,苹果,三星引用我一点都不意外。甚至是侵权都很正常。
非要说意外的话,我只能说,任正非牛,这水平不是人所能及。因为任正非的格局,做大做强,还要给对手汤喝(喝了会凉凉,不喝会马上凉凉)。总以为别人吹牛,5g设备上,别人一两年都追不上。但华为并没有尽力抢战市场,定价高很多。所以爱立信也活得很好,成功扭亏为盈。手下什么都争,那是手下的职责,但企业掌权人必须要知道。极盛必衰,低调隐藏才能长存,养个追不上你的对手,可以让别人进不入市场。已知总比未知好应付,不是么?(手动狗头保命)
类似的话题
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有