在2003年,,思科曾指控華為“抄襲代碼”,將華為子公司告上法庭,。而當(dāng)時(shí)思科的指控對象,,就包括華為在美研發(fā)分支Futurewei。如今思科卻被爆出在自己的設(shè)備中使用了華為子公司Futurewei的證書和密鑰,,并且使用了華為的代碼,,遭ZDNet新聞網(wǎng)吐槽“尷尬”。
7月3日,,思科在其官網(wǎng)一下子列舉19條程序安全相關(guān)聲明,,建議其客戶對產(chǎn)品進(jìn)行相關(guān)更新。
其中有一條聲明指出,,思科250,、350,、350X和550X型號交換機(jī),,采用了開源程序包OpenDaylight中的一款密鑰證書。而這款密鑰證書出自Futurewei公司之手,。后者是華為在美國的研發(fā)分支機(jī)構(gòu),。
這個(gè)問題也不是思科自己排查出來的。而是網(wǎng)絡(luò)安全咨詢公司SEC Consult最早發(fā)現(xiàn),。該公司的物聯(lián)網(wǎng)部門的研究人員正在使用其IoT Inspector漏洞搜索軟件來探測思科Small Business 250系列交換機(jī)的固件映像,,發(fā)現(xiàn)它們包含發(fā)給Futurewei Technologies的數(shù)字證書和密鑰。 考慮到政治因素,,沒有就這一事件做進(jìn)一步推測,。”
Futurewei Technologies是華為的美國研發(fā)部門,。據(jù)報(bào)道,,由于美國禁止華為使用美國技術(shù),該研究部門正計(jì)劃與中國母艦分開,,并禁止華為員工離職,,放棄華為標(biāo)識,并為員工創(chuàng)建自己獨(dú)立的IT系統(tǒng)。
但問題是為什么像思科這樣起訴華為專利的美國科技巨頭將其中國競爭對手的證書和密鑰放入自己的交換機(jī)中,?
之所以會出現(xiàn)這個(gè)烏龍,,思科方面的解釋是:該公司開發(fā)者在測試期間使用了華為的開源包,但后來忘記刪除相關(guān)組件,。思科將這個(gè)鍋甩給軟件測試團(tuán)隊(duì)FindlT Development,,稱這是他們的“疏忽”。思科表示,,目前已經(jīng)刪除了上述產(chǎn)品中的華為密鑰證書,。由于這個(gè)改動(dòng)對產(chǎn)品安全問題影響不大,這條聲明的“警報(bào)等級”也是當(dāng)天所有補(bǔ)丁聲明中最低的,,為“消息級”,。
為了進(jìn)一步澄清,思科強(qiáng)調(diào),,證書和密鑰僅僅存在于文件系統(tǒng)中,,并沒有被設(shè)備激活使用。