安全是永恒的話題，這次華為安全專家上傳了一段HKSP補丁代碼，被發現漏洞，引發廣大網友質疑：

①、網友質疑：華為故意放漏洞，甚至引申到華為設備是否已經在用該代碼。

②、華為澄清：并沒有參與HKSP，也沒有任何設備使用該代碼。

事情真相如何?數智風簡要分析一下。

1、華為故意放漏洞一說，應該不存在

①、公司層面說

華為公司大家有目共睹，每年投入的研發經費上百億元人民幣（2019年投入上千億元）。比BAT三大互聯網巨頭投入研發經費加起來總和還多。作為一個投入那么多研發經費的公司，編寫的linux內核補丁代碼不可能不經過內部測試，內部審計。如果經過內部測試和內部審計的代碼，能夠被網友隨便就能發現補丁上還有漏洞。這顯然不合乎邏輯。

②、代碼層面說

再來看看這段代碼的功能，是為Linux內核引入了一系列加強安全的選項，可以有效限制惡意代碼創建分布式拒絕服務攻擊的能力，并限制發送欺騙數據包(具有偽造源IP地址的TCP/IP數據包)的能力。這本身就是防止攻擊的補丁，而補丁上可以被輕而易舉利用的漏洞甚至缺少通常的威脅模型。試問，一個有大量研發經費投入的華為公司，不至于連威脅模型都缺乏吧。

③、工程師層面說

最后看看這段補丁代碼的發布者。他是華為的L20頂級安全工程師。它自己業已經宣稱對這件事負責。是他個人的臨時演示代碼。我相信他沒有說謊。因為從邏輯上說，一個頂級安全工程師在寫正式的內核安全補丁，應該是會考慮威脅模型，是會仔細審計代碼的。而不會將含有很容易看出漏洞的代碼來交付的。唯一的可能就是，他發現了linux分布式攻擊的漏洞，于是利用業余時間臨時編了段演示代碼。該代碼還未經過仔細審核，也還未經過測試。甚至更還沒有告訴公司。

所以，從上面三個方面來看，華為故意放漏洞一說，數智風認為應該是不存在的。

2、華為是否有設備已經使用該段代碼？

這個疑問應該比較明確。既然前面說的代碼都是個人臨時發布的，華為公司不可能將臨時的補丁代碼隨便發布到現有的設備中去。

不說華為大公司，就是一般軟件開發公司，要是需要做補丁發布。也是需要經過嚴格測試后才能發布。而華為這種大公司更是如此。在我們使用的華為手機就知道，一些新的功能和補丁的發布，華為就算經過嚴格測試了，發布都還是采用滾動發布的。就是一批人先測試，然后逐步逐步擴散升級。

所以，一個那么不嚴謹的補丁代碼是不會發布到現有設備中去的。大家還是可以放心使用的。

3、那為什么會有那么多人質疑華為？華為有沒有責任？

①、為什么質疑華為

這件事情一發酵，很多人都在懷疑華為。畢竟這個L20頂級工程師的名頭是實實在在的，而且也確實是華為公司的員工。被人懷疑也是可以理解。不過這個懷疑者我想也是分為幾類人的。

• 表面理解者：看到補丁確實是華為安全員工提交，而且也實實在在存在漏洞。自然有理由懷疑。有懷疑才有研究，有研究才有進步嗎。

• 不明真相跟風者：網絡上也有很多不明真相的網友，看到有人懷疑，未加細想就加入了懷疑者行列。
• 居心叵測者：這類一般平時就比較陰暗的，有陰謀的。一看到華為出了個紕漏，那還不趕緊扒上去咬一口。當然這類人我相信比較少，但他們容易帶節奏，讓不明真相者跟風懷疑。

其實，懷疑不怕，就怕帶著惡意的懷疑才是最可怕的。那這個事情華為到底有沒有責任呢？

②、華為到底有沒有責任？

這個事情，代碼作者本人已經出來澄清是他個人的問題。所以這件事情的責任是他個人。華為可以管轄員工的上班行為，無法管轄員工的業余時間行為。那華為就真的一點問題都沒有嗎？

我想，華為還是有些地方需要改進的。華為雖然不能管理員工的業務時間，但應該對自己的員工多加培訓。尤其是關鍵時刻（MOT）的培訓，員工只要還在公司任職，任何一次與用戶或者與公眾見面的時刻都是關鍵時刻，都不可以掉以輕心。因為員工始終會代表公司的形象（哪怕是你不在上班時間）。

總結

綜上所述，華為頂級安全工程師發布這段補丁代碼確實不夠嚴謹。華為公司也應該加強員工培訓。如果，作者在發布代碼時加以說明是演示代碼，或者等干脆正式代碼候再發布就沒有這些問題了。對于質疑，其實不可怕，只要沒有特別目的的質疑其實都是一種進步。以上是我的粗淺認識，希望對你有所幫助。

我是數智風，用經驗回答問題，評論！