楼主

12、 金融时报记者：关于去年的NCSC 2018年的报告，主要的问题是关于华为软件中第三方部件，有人说这样的问题是因为华为的公司文化，华为比欧洲公司更愿意从不同来源得到部件。极端一点说美国起诉书中提到华为之前鼓励员工拿到别的公司技术这个例子，这是一个很极端的例子。你们怎么用计划的20亿美元开发解决第三方部件的问题，您认为第三方部件问题来自于哪里？是公司文化还是怎样的原因？这个时间段怎么解决这个问题？ 徐直军：首先，你的理解是错误的，你提到的第三方软件主要是美国风河公司的操作系统叫“VxWorks”，我们原来以为用美国公司的操作系统英国政府最相信了，后来发现不是这样的。 任何一个产品无论是硬件还是软件都会基于一个操作系统来开发，就像所有软件商都基于windows、Linux开发一样。我们做基站软件也要基于一个操作系统来开发，英国网上运行的华为基站用的就是VxWorks。当然，还有一些第三方的软件和开源软件。报告中提到是，对所有第三方软件管理中有改进的地方，而不是不能用（第三方软件），（如果）不能用的话，就要靠每家公司把所有的软件做出来，每家都要做一个windows，每家都要做一个Linux，每家都要做Oracle类似的数据库，这是不可能的。 我们后来找到了风河公司，他们告诉我们，这个软件以及华为正在用的这些版本，在英国各行各业，甚至一些比电信行业更敏感的行业里都在大规模使用。华为在软件开发过程中使用其他公司的操作系统、数据库以及开源软件，这些跟华为文化没关系，这是所有做产品的企业必然的选择，因为（一家公司）不可能做所有的东西。 现在大家有一个疑问，华为软件工程能力的提升为什么要花三到五年时间，为什么还要投20亿美金额外的投资？ 把这个问题说明白了需要比较长的时间，不知道大家愿不愿意听。 华为最早跟英国政府合作成立HCSEC，主要是因为英国政府担心华为产品有后门。我们把源代码送到HCSEC，让英国有DV认证的英国公民看源代码，以此证明没有后门，看出来的结果也是没有后门。这是最初的目的。 全世界都知道华为敢于把源代码放到英国的HCSEC，让英国有DV认证的英国公民来看源代码，证明了我们没有后门。Robert在文章上也讲了，GCHQ也清楚了，所以现在其他国家担忧的后门的问题，其实在英国早就解决了。在我们决定把源代码拿到英国这个过程中，后门问题就解决了。 解决这个问题之后，HCSEC要看一看华为产品的防攻击、防渗透、防各种威胁的能力怎么样。在增强华为产品的防攻击、防渗透能力上，我们做了八年的工作。经过八年的努力，可以说，这个行业中华为产品在这方面是最强的，而且不是我们自己说的，是一家美国公司，Cigital公司通过评估和调查做的结论。 Cigital是一家专业的软件安全工程成熟能力进行评估的美国公司，从2013年开始，每年对我们产品的安全管理进行评估，有12个评估项目，我们有9项达到了业界最高级水平，其他三项也高于业界的平均水平。 但是大家很清楚，安全威胁的环境在发生变化，攻击渗透的技术不断进步，黑客能力水平越来越高。单单安全能力强，防攻击、防渗透能力很强，就好比是一个椰子，外壳很坚硬。万一外壳攻破了会怎么样？不能像椰子一样里头是一堆水。 所以，我们共同的关注点就从外面转到了里面。里面怎么样涉及到韧性，涉及到开发过程是不是高质量，是不是可信。从结果角度上升到了过程角度，结果要好，过程也要好。 HCSEC是可以看到华为的源代码的，（代码）是不是可读，是不是易修改、易构建都知道，好比一个人是赤裸在那里。 现在CESC的问题是，你们的代码不够漂亮。代码是华为三十年在通信行业，像windows一样累积起来的三十年代码，华为的代码要在不漂亮，易读、易修改等方面进行改进，还要把过程改进。不但结果是高质量，可信的，过程也要是可信的，才能证明可信。这就把焦点聚焦到整个软件的生产过程，我们叫做软件工程与实践，而且用面向未来的标准来对应历史上三十年的所有代码。 过去面临的安全风险、使用的软件技术、编程能力跟现在是有差别的，跟未来要求肯定更有差别。把历史上三十年的所有代码进行重构、重写。这个投资是巨大的，而且对华为现在进行的满足客户需求进度产品上是有冲击的。 在这件事情上，我们跟NCSC有相当一段时间剧烈的冲突，（华为）只愿意对新增代码达到要求，而不愿意对历史的代码进行重构。几乎所有的高管都去碰撞过，但在碰撞过程中，不断地加深理解，重构也好、过程质量做好也好，这不是一件简单的事情，对于华为公司未来的发展、未来真正建立可信是有价值的。 未来世界是一个云化，智能化，软件定义一切的世界，关键在于软件，软件必须得到对政府相关机构及客户的信任。信任既要结果可信，也要过程可信，既要结果质量，也要过程质量。这对于华为公司实现远大的理想至关重要。 所以我亲自去了NCSC两次，跟他们进行交流，发现不能再相互碰撞下去，这不仅仅是为了满足NCSC的要求，更是华为公司面向未来必须要采取的行动和措施，所以我回来说服了相关领导，在董事会决策要做软件工程能力提升的变革。 13、金融时报记者：请问大概什么时候？ 徐直军：去年年底。董事会通过激烈的辩论后，决策要开始彻底地进行软件工程能力提升变革，目标就是要打造可信的产品。变革要花三到五年时间，根据我们面向未来的标准和要求，彻底地变革整个软件的生产过程，同时对历史上所有的代码以未来的标准进行重构。 既要满足客户需求、又要重构，必须要有新的投资，才有20亿美金额外投资，这20亿美金主要是用于历史代码的重构以及所有工程师训练等等相关变革的费用。遗憾的是我成了变革的责任人，使得我未来五年要增加很多工作。最近这段时间，我花了大量的时间在做变革相关的事情。 20亿美金只是启动资金，肯定是不够的，希望通过三五年的努力真正能够打造让各国政府信任、让客户信任的产品。这样的话，华为未来就有更好地发展。为此我们的创始人新年第一封邮件向所有员工发了一封信--“全面提升软件工程能力与实践，打造可信的高质量产品”。 什么叫过程质量？举一个简单的例子。大家可能觉得中餐很好吃，但是应该很少有人去厨房看过。厨师用什么动作、什么过程、什么东西把这个菜炒出来，很多人不知道。 现在要走进厨房，对于厨师炒菜建立一套流程、标准、行为规范。厨师不按这个动作做，那么做出的菜可能就难吃一点，纠正过来又变得好吃了。这就是我们做软件能力提升变革，要把整个软件生产过程、以及生产出来的代码实现高质量、实现可信。 这很挑战，但是也是我们必须要做的事情。所以为什么要三到五年，为什么20亿美金只是启动资金。 其实我们现在还搞不清楚未来总要投多少钱。 当然，华为有一个优势，我们不是上市公司，现在少挣点钱没关系。只要有未来，就是最大的胜利。员工都是股东，大家可以理解，现在利润低一点是可行的，但没有未来是不行的。 14、新政治家记者：能不能大概估一下把整个代码进行重构的话可能成本有多大？ 徐直军：我们正在做高阶设计，还没有估出来。估出来告诉你，希望在3月底把高阶计划做完。 我想强调一下，刚刚提到的的问题不是华为独有的，而是整个产业界的公司都有。（不同公司）在不同领域上改进可能都不一样，但没有一家是完美的。而且这还是一个动态变化的情况。（如果）任何企业把代码送到英国去，让英国有DV证书的公民去看，（他们也）同样会发现很多问题。 15、每日电讯报记者：刚才提到变革成本问题，想问在整个变革过程中对于这些代码的重构，HCSEC在验证监督方面会发挥什么样的作用，时间轴怎样的？ 徐直军：所有重构后的代码，只要是用在英国网上的（代码）都会被HCSEC检视。结果好坏NCSC是知道的。我们现在说的都只是期待，最终要靠结果来验证，到底做得怎么样。 华为在英国建立HCSEC目的就是要找问题，就是希望它能够发现问题，推动我们进步。而不仅仅为了找后门，（因为）后门（根本）不存在。2018年，华为为HHCSEC投资600万欧元，给华为找问题上，这是存在价值的。从我的角度来讲，这对所有的研发团队也是一个促进、也是一个验证。 16、Computer World 记者：互联网的起源也是从军方起来的，包括美国也是。从技术的角度来看，似乎变得更加靠近政治，您觉得这是一个问题吗？如果是的话如何解决？ 徐直军：技术一直都是跟政治结合在一起的。什么叫政治？想让它政治化就政治化，想让它不政治化就不政治化。这种事情怎么来解决？ 人类走了这个历程，各个国家有智慧的人是很多的。技术的进步是造福于人类的，尤其是5G，5G不是原子弹，不伤害人，5G是造福于所有的老百姓，为老百姓去享受更好的数字化体验带来价值的。 关于隐私保护，欧盟已经出台了GDPR，现在英国还没有脱欧，是遵守的，脱欧以后（相信）英国也会有自己的标准，只要按照这个标准做，就可以保护好英国人民和欧洲人民的隐私。 任何企业要违反GDPR是要受到重罚的，我们很欣赏GDPR这种标准，因为它是公开透明、一视同仁，大家都要遵守，不遵守就要受到处罚。 从技术和专业角度来讲，网络安全本来可以制定标准，一旦有了标准，是公开的、透明的、无歧视的，大家都遵守这个标准，不遵守这个标准就要受到处罚。 但是如果从意识形态和政治的角度出发，那就是基于怀疑和假设来说你行或者不行。那就（好比我现在说你）：你终究会杀人的。在你没有去见上帝之前，总有一天你可能会去杀人。 这就是华为现在受到的待遇。 17、金融时报记者：您之前讲过在亚洲地区是最主要是5G市场，欧洲5G还没有成熟，您可以数量化一下这个预测吗？您认为亚洲哪些国家近几年代表百分之多少华为5G的市场呢？ 徐直军：我把全球市场分为三类： 第一类，5G需求比较大的市场，中国、日本、韩国和海湾国家。 第二类，欧美的一些发达国家，包括美国。现在对5G需求还没有那么强烈，4G都不见得很好。你们知道法国的基站数量跟深圳比是什么结果吗？法国所有4G基站加起来没有深圳移动一家多。 第三类，发展中国家，根本还没有需求。 华为未来几年5G收入主要还是第一类市场，少量来自第二类市场。

----------------------------------------------