該公司被網(wǎng)絡(luò)安全咨詢公司發(fā)現(xiàn),產(chǎn)品交換機(jī)里用的密鑰證書,是華為子公司研發(fā)的。思科對(duì)此解釋稱:在測試產(chǎn)品時(shí)使用了華為的代碼,最后忘了刪除。
不過需要注意的是,該密鑰證書為一款開源程序包中的一部分。
7月3日,思科在其官網(wǎng)一下子列舉19條程序安全相關(guān)聲明,建議其客戶對(duì)產(chǎn)品進(jìn)行相關(guān)更新。
其中有一條聲明指出,思科250、350、350X和550X型號(hào)交換機(jī),采用了開源程序包OpenDaylight中的一款密鑰證書。而這款密鑰證書出自Futurewei公司之手。后者是華為在美國的研發(fā)分支機(jī)構(gòu)。
這個(gè)問題也不是思科自己排查出來的。而是網(wǎng)絡(luò)安全咨詢公司SEC Consult最早發(fā)現(xiàn)。該公司一位負(fù)責(zé)人還向ZDNet新聞網(wǎng)表示,“我們注意到思科固件內(nèi)用的是華為的證書,考慮到政治因素,我們不想就這一事件做進(jìn)一步推測。”
之所以會(huì)出現(xiàn)這個(gè)烏龍,思科方面的解釋是:該公司開發(fā)者在測試期間使用了華為的開源包,但后來忘記刪除相關(guān)組件。思科將這個(gè)鍋甩給軟件測試團(tuán)隊(duì)FindlT Development,稱這是他們的“疏忽”。
思科表示,目前已經(jīng)刪除了上述產(chǎn)品中的華為密鑰證書。由于這個(gè)改動(dòng)對(duì)產(chǎn)品安全問題影響不大,這條聲明的“警報(bào)等級(jí)”也是當(dāng)天所有補(bǔ)丁聲明中最低的,為“消息級(jí)(informational)”。
值得一提,思科曾指控華為“抄襲代碼”,于2003年將華為子公司告上法庭。而當(dāng)時(shí)思科的指控對(duì)象,就包括華為在美研發(fā)分支Futurewei。如今思科自己使用華為代碼,遭ZDNet新聞網(wǎng)吐槽“尷尬”。
