與新冠疫情防控相關的軟件系統在關鍵時刻出現技術故障的問題,一直以來備受關注。這樣的重要系統屢屢出現重大技術故障,暴露出我國當前數字化建設過程中的若干短板,尤其是整個信息產業普遍缺乏交付可信軟件系統的能力。

“可信”的門檻

按照英國可信軟件基金會(Trustworthy Software Foundation)的定義,可信的軟件系統應當具備以下5個方面的特質:

無害性(Safety):軟件運行時不會對任何東西或任何人造成傷害。

可靠性(Reliability):軟件正確運行不發生錯誤的能力。

可用性(Availability):軟件在需要時正常運行并提供服務的能力。

堅韌性(Resilience):軟件從錯誤中快速和完全恢復的能力。

安全性(Security):軟件防護惡意軟件、黑客或意外誤用造成危險的能力。

所有人都會贊同,良好的軟件系統應當具備上述這些特質,服務于大眾重要應用場景的軟件系統應當是可信的。然而事實證明,獲得可信的軟件系統并非易事。即便是當前最受重視的疫情防控相關系統,由“已在國內17個省120多個地市部署應用”的行業領先企業來實施,仍然會在關鍵時刻不可用、且無法從錯誤中快速恢復。

更值得關注的是,在我國大張旗鼓開展數字化新基建的大背景下,采購軟件系統的甲方單位普遍缺乏對軟件項目實質性的監管治理能力。大部分甲方單位、尤其是信息化程度較低的傳統行業和中西部地區甲方單位,基本不具備實質管控軟件項目的能力。

曾經,某西部地區知名國企采購一個軟件系統后,不確定乙方是否按合同要求交付了源代碼,請筆者幫忙鑒定。筆者打開甲方傳來的一個壓縮包一看,只有若干光禿禿的.java源文件,前端網頁源碼、構建腳本、配置文件、數據庫腳本、部署腳本等必要工作件(artefacts)全部付之闕如。

拿著這樣一堆“源代碼”,甲方根本不可能重新構建出線上運行的軟件系統,甚至無法知道自己拿到的究竟是不是線上系統的源碼,更遑論對其質量和可信性進行任何有效的管控。

在極度簡化的場景下,軟件開發商使用人類可讀的編程語言來開發軟件,產出的成果就是源代碼。源代碼和圖片、文本等各種資源文件一起,再加上眾多依賴軟件,通過一個叫做構建的過程,被打包成為可執行的軟件包,其中的內容通常是人類不可讀、但是計算機可以執行的二進制文件。這個軟件包再與各種配置文件相結合,通過叫做部署的過程,被安裝到真實使用的生產環境上,成為線上運行的軟件系統。

典型的(過度簡化的)軟件交付過程

在這個過程中,所有工作件的質量、所有操作的質量,都會影響最終線上系統的質量。

然而在當前我國數字化項目建設中,很多甲方只獲得乙方構建部署完成后的線上系統,對構建過程、部署過程及涉及的工作件無法觸及,也沒有專業技術能力評判這些過程和工作件的質量。毫不夸張地說,很多數字化項目中,甲方實際上只獲得了軟件系統的使用權,根本沒有獲得系統的所有權。

甲方對軟件系統所有權和管控權的缺失,會帶來兩個直接的惡果。首先是形成對廠商的嚴重依賴甚至綁定。因為甲方沒有掌握軟件交付過程和工作件,未來任何修補和增強都只能依賴原廠商,客觀上形成原廠商的反競爭壁壘。另外,軟件系統質量是否過關、是否可信,因為甲方不掌握軟件交付過程和工作件,基本只能依賴廠商“又當球員又當裁判”。

筆者在之前接受觀察者網采訪時打了一個比方:

我國現在很多軟件系統的驗收,甲方既沒有能力檢驗軟件的無害性、可靠性、可用性、堅韌性、安全性等非功能指標,也沒有能力深入軟件交付過程審核其架構質量、代碼質量、供應鏈質量等質量指標,常常只是以最終用戶視角把軟件功能跑一遍就完成了驗收。這就好比修建一座大橋,甲方既不檢查橋梁結構是斜拉式還是拱式,也不監督橋墩的施工質量,到竣工那天開一輛小轎車從橋面上順利通過就算完工驗收。至于大橋是否安全可靠,就全憑乙方自己提供的一堆文檔來論證了。

這聽起來可能荒誕,卻是當前行業的真實現狀。

英國政府如何落實可信要求

英國政府和業界幾年前已經開始重視軟件可信能力。英國標準協會(BSI)于2023年發布了《軟件可信:治理和管理》規范,2023年又代之以《信息技術系統可信:治理和管理》規范。

不過,英國政府對可信的重視為中國業界同行所知,大約是從他們以“軟件可信能力欠缺”為由限制華為產品開始的。

英國政府對華為實施審查的機構“華為網絡安全評估中心”(HCSEC)從2023年起開始發布監督委員會年度報告(可在英國政府網站下載),迄今已發布7期。透過這7期年度報告,可以部分還原英國政府落實軟件可信要求的治理結構和審查內容。

治理結構

HCSEC成立于2010年,其目的是“根據華為與英國政府之間的一系列安排,為英國電信市場上使用的一系列華為產品提供安全評估,以規避因華為參與英國部分關鍵國家基礎設施而帶來的任何風險”。2023年,該機構共有21名員工,到2023年已增加到42名員工。

HCSEC是華為下屬的一家全資子公司。但這只表示華為要承擔審查相關的費用,卻不表示華為能“又當球員又當裁判”。該中心監督委員會的主席由英國國家安全顧問指派,主席再邀請其他委員會成員,也就是說,該中心的人事安排完全在英國國家安全委員會的控制下。

實踐上,HCSEC監督委員會的主席一直由政府通信總部(GCHQ)的主席兼任,前幾年是夏蘭·馬丁(Ciaran Martin),2023年由琳迪·卡梅倫(Lindy Cameron)取代——GCHQ是向英國外交大臣匯報的情報和國家安全機構與國家安全局(MI5)、秘密情報局(MI6)一同接受聯合情報委員會(JIC)的領導,其主要職責是向英國政府和英軍提供情報和信息保障。

華為現任監事會副主席、運營商BG總裁丁耘一直在HCSEC監督委員會擔任副主席,監督委員會的其他成員還包括華為英國區管理董事、英國內閣辦公廳國家安全秘書處網絡安全主任、英國國家網絡安全中心(NCSC)技術主任、以及白廳各部的代表。從監督委員會的人員構成就能看出,這個委員會確保了HCSEC服務于英國的國家安全利益。

另外,HCSEC還每年聘請知名審計事務所安永(Ernst and Young)對自身運作的獨立性進行審計——這里所說的“獨立性”特指“獨立于華為總部”。安永基于國際鑒證業務準則(ISAE)3000的規范,從財務預算、人事、采購、評估計劃、與華為的協作關系、評估匯報機制等角度審計HCSEC的活動。

在2023年的審計報告中,安永指出:HCSEC雇員的獎金是由華為英國公司根據華為公司的標準計算的,HCSEC管理層無法審查或批準員工的獎金,并建議未來改為由HCSEC管理層負責審查其雇員的獎金分配。

安永還指出,部分HCSEC雇員尚未取得“高度審查”(DevelopedVetting)級別的安全許可,并建議未來強化對員工安全許可級別的管理制度。在外部專業審計公司的幫助下,HCSEC雇傭了一批通過英國政府安全審查的專業人士,給他們設置了不受華為影響的激勵制度,從而確保了對華為產品評估審查的獨立性。

HCSEC的組織架構