我眼中的华为：华为如何保证软件安全

外面有很多介绍华为的文章，大部分我看完都微微一笑。很多要不是夸大，要不是贬低，外面对华为有很多误解。因此我决定写一个华为系列--我眼中的华为，主要描述我感触比较深的事情，同时让大家对华为也有进一步的认识。

来自网络

安全无小事

华为的主要客户是全世界的运营商，运营商安全级别本来要求就比较高，特别是欧美、日本，本来对中国企业就有不信任的成分，要求更高。如果发生安全事故，不仅仅做出赔偿，有可能从此再也进不入该市场，甚至引起政治纠纷。安全高于质量的要求，华为主要通过以下几个方面保证安全。

日常化

一进入华为，你就要参加各种安全培训和安全考试，《Java安全编码规范》、《安全红线讲解》等。那么你在日常写代码的时候必须符合安全编码规范，日常行为要符合安全红线。如果你触犯了，处罚非常严重，升级、涨薪、奖金根据严重程度受不同程度的影响，甚至你的老大，你老大的老大都会受影响，直接发文通报批评。每个不会拿自己前程开玩笑，因此在日常工作中，安全得到最大重视，深入到每个华为人的血液中。

工具化

前面的文章《华为如何保证软件质量》提到过代码扫描工具，通过代码扫描发现你使用的非安全函数，结果以邮件的形式发给全员，因此发现非安全函数你必须进行整改。公司内部的工具还可以扫描项目文件权限是否最小化、是否存在SQL注入、是否存在xml注入、是否存在非公开接口等，让安全问题一网打尽。

来自网络

流程化

• 开发阶段，代码必须经过工具扫描，人为检视，发现问题进行整改、归档，形成闭环。
• 开发完成，安排专门时间、专人，必须进行组内安全红线排查，发现问题、整改。
• 版本发布前，安排专人进行安全红线排查
• 上线前，会送检，公司有安全委员会，对上线版本进行扫描，如发现问题，此版本不能上线，拿回来整改，延迟上线，并且还发文批评。

你可能还会喜欢

• 华为如何保证软件质量