爆Linux修補專案有後門，華為否認與之有關

近日的一批疑似來自華為的Linux修補專案引爆後門程式疑慮，華為對此出面駁斥和該專案的關聯性。

近日一個名為HKSP（Huawei Kernel Self Protection）專案上傳到開發社群Openwall網站上，宣稱專案旨在強化Linux核心的安全性。原作者說明，這專案是他工作之餘的研究結果，和華為公司無關。他並表示，由於個人精力有限，無法面面俱到，因此警告本專案欠缺品質控管，像是檢查或測試，也說只是一個示範程式。

不過由於名稱中有華為字樣，外界仍相信這個專案來自華為。事實上，Google、微軟或Amazon、IBM等公司因為大量使用Linux具有足夠開發資源，回饋Linux核心強化的專案也所在多有，華為上傳程式碼也無可厚非。然而華為在網路設備上的爭議猶存，使這個專案格外受關注。

一家安全廠商GRsecurity發現HKSP中有漏洞，該公司認為該漏洞出於完全欠缺安全防護意識的編寫，而「可輕易開採」（trivially exploitable）。這引發其他開發人員質疑華為釋出了一個有後門的修補程式。

周一華為出面否認。華為指出，經過調查顯示，這批修補程式並非華為提供的官方版本，而是由一位開發人員上傳Openwall的示範程式碼，也未用於所有華為裝置中。

華為重申對產品程式碼有嚴格品質要求，對官方版本釋出開源社群也有嚴厲的管理和流程要求。

原作者也在引發爭議後感謝GRSecurity點出「大量臭蟲」，並移除有問題的程式碼。此外他也移除和華為有關的字串，強調因為是個人作品、不是華為官方專案之故。

華為聯絡GRSecurity，希望後者能修正描述。不過GRsecurity說，依據公開資訊，原作者乃華為員工，且雖然他撇清程式碼和華為的關係，但他們從私下管道得知，該員工還是華為公司等級最高的首席安全部門成員。這家廠商並認為原作者在Github repo偷偷摸摸的修改啟人疑竇，因此決定僅以更新方式說明，並未刪除其說法。