华为
许多开源项目由于团队规模小、人员流动性大,往往缺乏严谨的管理流程,因此可能存在后门风险而不自知。相比之下,大型企业为了防止员工在代码中植入后门,通常会制定严格的开发规范和审查机制。例如,
华为规定每次提交的代码行数不得超过1000行,理想情况下不超过500行,以便于同事之间的代码审查(peer review)。此外,二进制文件及第三方代码严禁直接入库,测试文件必须由代码生成,这有效杜绝了类似 xz 后门中二进制测试文件的风险。为防范供应链攻击,业界普遍采用 BEP(二进制一致性)技术,在不同环境下使用相同的工具链和随机种子对完整源码进行编译,确保生成的二进制文件完全一致。这类措施能够显著降低潜在威胁。大
公司在内部安全问题上往往经历过多次教训,因此高度重视相关防护。例如,
Google 提出了零信任安全理念,其 BeyondCorp 架构摒弃传统
VPN,通过验证用户设备的可信状态授予适当权限。而
华为则强调基于不信任的管理模式,信息安全管理极为严格。这种思路也与 Web3 的核心特性——Trustless(无信任)和 Permissionless(无许可)相契合,即整个生态依赖代码而非个人信任来运行。鉴于开源或第三方软件可能存在的安全隐患,大厂通常会构建多层次的纵深防御体系。即便关键组件如 sshd 存在后门,
公司内网仍无法被外部直接访问,且向外通信需经过带有身份验证的代理
服务器,从而限制了恶意代码的影响范围。值得注意的是,一些专注于安全领域的
公司,在自身系统安全性方面反而不如大厂,尤其是在物理安全层面,例如办公场所、家庭环境以及电子设备的安全保护是否得到足够重视。
