美企报告称华为漏洞高于平均水平 华为刊四千字长文反驳：严重失实

近日，华为官方刊载了一篇四千字长的技术分析报告，详细反驳了此前美网络安全公司Finite State的分析结果。

此前，美网络安全公司Finite State一份关于华为设备安全性的报告流出，该报告称华为设备被发现的漏洞远远高于竞争对手的平均水平，在被测试的固件镜像中，有55%至少存在一个所谓“潜在后门”的漏洞，这类漏洞能让了解相关固件和密钥的攻击者登入设备。

外媒称，Finite State的这份报告在公开发布之前，就已经在美官方内部广为流传，美官方认为Finite State的报告真实可信，可以进一步证实华为对于美方安全具备威胁。

对此华为在技术分析报告反驳称：“我们无法确认F公司软件获取的渠道是否合法，也不能保证其获取软件的完整性，同时华为也未曾收到F公司的任何沟通请求。他们也没有通过华为了解这些产品，并拒绝在公布前将报告提供给华为。遗憾的是，这意味着这份报告缺乏洞察力、完整性和准确性，F公司的这种做法也不是一个专业、认真、有能力的安全公司通常的做法。”

华为质疑Finite State公布此报告的目的：“我们不清楚F公司CEO Matt Wyckhouse及F公司目的何在，为何他们没有选择市场领导者Cisco公司的产品来做比较，为何评估的是华为产品的老版本，发现的是已经在新版本中修复的问题。”

华为认为：“F公司的方法存在严重的操作和技术缺陷，测试缺乏中立性，报告严重失实。”

至于为何失实，华为也做了2点分析：

1、F公司显而易见的高估了自己工具的先进性和准确性，且在报告中大量使用潜在后门这种情绪化、夸大性语言。

2、报告未说明为何选择华为作为测试样本，反而未选择份额最大的思科公司产品，且报告上声称选择的是华为最新版本，但实际引用的版本均为旧版本。

华为总结道：“我们不得不怀疑这是否在做选择性测试，从众多版本中选择版本和精心选择的对比测试对象，以得到F公司及资助此“研究”的相关方“期望”的结果。”

华为原文有更详细的技术分析内容，感兴趣的读者可以前往官网查看。