(给程序员的那些事加星标
综合整理:程序员的那些事(id:iProgrammer)
思科曾指控华为“抄代码”,如今它自己闹出“尴尬”事件。
最近,多个国外科技媒体报道,SEC Consult 的研究人员在思科的多个型号交换机发现了出自华为美国子公司的密钥和证书。
思科和华为是竞争对手,所以 ZDNet 的报道标题更加不客气,《这是认真的?思科把华为 X.509 证书和密钥放到自家交换机中》。
证书是由中国科技巨头华为在美国的子公司未来威科技(Futurewei Technologies)颁发给华威网络的。华为的设备已被禁止进入美国政府机构和基础设施。
SEC Consult 立即通知思科,在几天内就确定固件中存在证书,原因是使用了一个名为OpenDaylight 的开源软件包。
OpenDaylight 是为定制和自动化网络而设计的,有众多企业参与,包括思科、华为、中兴等,该项目还集成了华为颁发的证书。
这个问题被媒体披露后,思科给出的解释是:该公司开发者在测试期间使用了华为参与的开源包,但后来忘记删除相关组件。
思科表示,这个问题影响了思科 250、350、350X 和 550X 系列交换机的固件。思科已经从其固件中删除了证书,并计划在将来的固件版本中解决 SEC Consult 发现的其他问题。
没必要过度解读
其实这事算不上抄代码。只不过因为思科曾经控诉华为,加上最近的特殊环境,所以这事才被持续被关注。
@tombkeeper 总结了这事:
思科在产品中用了开源代码,只不过这代码恰好是华为贡献的,所以其中包含了华为的密钥——这件事,美国人的标题是《Huawei cryptographic keys embedded in Cisco's firmware》,让你感觉是思科产品里被华为植入了后门。到了中国,标题就变成了《思科被发现使用华为代码,解释:忘了删》,让你感觉是思科抄了华为的代码。

不能要求每个人都能自己去探究真相,而标题党又不能枪毙,所以你们这个世界也就这样了。
关注「程序员的那些事」加星标,不错过圈内事
圈内事,我在看❤️
继续阅读
阅读原文