华为徐直军与英媒交流：5G不是原子弹，能造福百姓(4)

12、 金融时报 记者：关于去年的NCSC 2018年的报告，主要的问题是关于华为软件中第三方部件，有人说这样的问题是因为华为的公司文化，华为比欧洲公司更愿意从不同来源得到部件。极端一点说美国起诉书中提到华为之前鼓励员工拿到别的公司技术这个例子，这是一个很极端的例子。你们怎么用计划的20亿美元开发解决第三方部件的问题，您认为第三方部件问题来自于哪里？是公司文化还是怎样的原因？这个时间段怎么解决这个问题？

徐直军：首先，你的理解是错误的，你提到的第三方软件主要是美国风河公司的操作系统叫“VxWorks”，我们原来以为用美国公司的操作系统英国政府最相信了，后来发现不是这样的。

任何一个产品无论是硬件还是软件都会基于一个操作系统来开发，就像所有软件商都基于windows、Linux开发一样。我们做基站软件也要基于一个操作系统来开发，英国网上运行的华为基站用的就是VxWorks。当然，还有一些第三方的软件和开源软件。报告中提到是，对所有第三方软件管理中有改进的地方，而不是不能用（第三方软件），（如果）不能用的话，就要靠每家公司把所有的软件做出来，每家都要做一个windows，每家都要做一个Linux，每家都要做Oracle类似的数据库，这是不可能的。

我们后来找到了风河公司，他们告诉我们，这个软件以及华为正在用的这些版本，在英国各行各业，甚至一些比电信行业更敏感的行业里都在大规模使用。华为在软件开发过程中使用其他公司的操作系统、数据库以及开源软件，这些跟华为文化没关系，这是所有做产品的企业必然的选择，因为（一家公司）不可能做所有的东西。

现在大家有一个疑问，华为软件工程能力的提升为什么要花三到五年时间，为什么还要投20亿美金额外的投资？

把这个问题说明白了需要比较长的时间，不知道大家愿不愿意听。

华为最早跟英国政府合作成立HCSEC，主要是因为英国政府担心华为产品有后门。我们把源代码送到HCSEC，让英国有DV认证的英国公民看源代码，以此证明没有后门，看出来的结果也是没有后门。这是最初的目的。

全世界都知道华为敢于把源代码放到英国的HCSEC，让英国有DV认证的英国公民来看源代码，证明了我们没有后门。Robert在文章上也讲了，GCHQ也清楚了，所以现在其他国家担忧的后门的问题，其实在英国早就解决了。在我们决定把源代码拿到英国这个过程中，后门问题就解决了。

解决这个问题之后，HCSEC要看一看华为产品的防攻击、防渗透、防各种威胁的能力怎么样。在增强华为产品的防攻击、防渗透能力上，我们做了八年的工作。经过八年的努力，可以说，这个行业中华为产品在这方面是最强的，而且不是我们自己说的，是一家美国公司，Cigital公司通过评估和调查做的结论。

Cigital是一家专业的软件安全工程成熟能力进行评估的美国公司，从2013年开始，每年对我们产品的安全管理进行评估，有12个评估项目，我们有9项达到了业界最高级水平，其他三项也高于业界的平均水平。

但是大家很清楚，安全威胁的环境在发生变化，攻击渗透的技术不断进步，黑客能力水平越来越高。单单安全能力强，防攻击、防渗透能力很强，就好比是一个椰子，外壳很坚硬。万一外壳攻破了会怎么样？不能像椰子一样里头是一堆水。

所以，我们共同的关注点就从外面转到了里面。里面怎么样涉及到韧性，涉及到开发过程是不是高质量，是不是可信。从结果角度上升到了过程角度，结果要好，过程也要好。

HCSEC是可以看到华为的源代码的，（代码）是不是可读，是不是易修改、易构建都知道，好比一个人是赤裸在那里。

现在CESC的问题是，你们的代码不够漂亮。代码是华为三十年在通信行业，像windows一样累积起来的三十年代码，华为的代码要在不漂亮，易读、易修改等方面进行改进，还要把过程改进。不但结果是高质量，可信的，过程也要是可信的，才能证明可信。这就把焦点聚焦到整个软件的生产过程，我们叫做软件工程与实践，而且用面向未来的标准来对应历史上三十年的所有代码。

过去面临的安全风险、使用的软件技术、编程能力跟现在是有差别的，跟未来要求肯定更有差别。把历史上三十年的所有代码进行重构、重写。这个投资是巨大的，而且对华为现在进行的满足客户需求进度产品上是有冲击的。

在这件事情上，我们跟NCSC有相当一段时间剧烈的冲突，（华为）只愿意对新增代码达到要求，而不愿意对历史的代码进行重构。几乎所有的高管都去碰撞过，但在碰撞过程中，不断地加深理解，重构也好、过程质量做好也好，这不是一件简单的事情，对于华为公司未来的发展、未来真正建立可信是有价值的。

未来世界是一个云化，智能化，软件定义一切的世界，关键在于软件，软件必须得到对政府相关机构及客户的信任。信任既要结果可信，也要过程可信，既要结果质量，也要过程质量。这对于华为公司实现远大的理想至关重要。

所以我亲自去了NCSC两次，跟他们进行交流，发现不能再相互碰撞下去，这不仅仅是为了满足NCSC的要求，更是华为公司面向未来必须要采取的行动和措施，所以我回来说服了相关领导，在董事会决策要做软件工程能力提升的变革。

13、金融时报 记者：请问大概什么时候？

徐直军：去年年底。董事会通过激烈的辩论后，决策要开始彻底地进行软件工程能力提升变革，目标就是要打造可信的产品。变革要花三到五年时间，根据我们面向未来的标准和要求，彻底地变革整个软件的生产过程，同时对历史上所有的代码以未来的标准进行重构。