外面有很多介紹華為的文章，大部分我看完都微微一笑。很多要不是夸大，要不是貶低，外面對華為有很多誤解。因此我決定寫一個(gè)華為系列--我眼中的華為，主要描述我感觸比較深的事情，同時(shí)讓大家對華為也有進(jìn)一步的認(rèn)識(shí)。

來自網(wǎng)絡(luò)

安全無小事

華為的主要客戶是全世界的運(yùn)營商，運(yùn)營商安全級(jí)別本來要求就比較高，特別是歐美、日本，本來對中國企業(yè)就有不信任的成分，要求更高。如果發(fā)生安全事故，不僅僅做出賠償，有可能從此再也進(jìn)不入該市場，甚至引起政治糾紛。安全高于質(zhì)量的要求，華為主要通過以下幾個(gè)方面保證安全。

日常化

一進(jìn)入華為，你就要參加各種安全培訓(xùn)和安全考試，《Java安全編碼規(guī)范》、《安全紅線講解》等。那么你在日常寫代碼的時(shí)候必須符合安全編碼規(guī)范，日常行為要符合安全紅線。如果你觸犯了，處罰非常嚴(yán)重，升級(jí)、漲薪、獎(jiǎng)金根據(jù)嚴(yán)重程度受不同程度的影響，甚至你的老大，你老大的老大都會(huì)受影響，直接發(fā)文通報(bào)批評。每個(gè)不會(huì)拿自己前程開玩笑，因此在日常工作中，安全得到最大重視，深入到每個(gè)華為人的血液中。

工具化

前面的文章《華為如何保證軟件質(zhì)量》提到過代碼掃描工具，通過代碼掃描發(fā)現(xiàn)你使用的非安全函數(shù)，結(jié)果以郵件的形式發(fā)給全員，因此發(fā)現(xiàn)非安全函數(shù)你必須進(jìn)行整改。公司內(nèi)部的工具還可以掃描項(xiàng)目文件權(quán)限是否最小化、是否存在SQL注入、是否存在xml注入、是否存在非公開接口等，讓安全問題一網(wǎng)打盡。

來自網(wǎng)絡(luò)

流程化

• 開發(fā)階段，代碼必須經(jīng)過工具掃描，人為檢視，發(fā)現(xiàn)問題進(jìn)行整改、歸檔，形成閉環(huán)。
• 開發(fā)完成，安排專門時(shí)間、專人，必須進(jìn)行組內(nèi)安全紅線排查，發(fā)現(xiàn)問題、整改。
• 版本發(fā)布前，安排專人進(jìn)行安全紅線排查
• 上線前，會(huì)送檢，公司有安全委員會(huì)，對上線版本進(jìn)行掃描，如發(fā)現(xiàn)問題，此版本不能上線，拿回來整改，延遲上線，并且還發(fā)文批評。

你可能還會(huì)喜歡

• 華為如何保證軟件質(zhì)量