随着越来越多用户开始理解软件存在安全漏洞的现实,用户需要的就不仅仅是漏洞的补丁了,还需要软件相关安全问题的知情权。——尼尔·麦卡利斯特
　　
　　丰田“召回门”事件最近闹得沸沸扬扬。与汽车业有些不同的是,在软件行业,并非所有软件公司都将处理漏洞视为整个开发周期中最关键的一步。所有软件公司發布的产品中都存在隐形的安全漏洞已经逐渐成为人们的共识。
　　软件测试服务提供商Veracode的一份调查报告指出,在过去18个月中,约有60%的软件没能通过测试流程的第一个环节。无独有偶,去年由WhiteHat Security所做的一项调查显示,82%的企业网站至少存在过一个高风险级别的安全漏洞,其中63%的网站在调查时仍未修复漏洞。虽然调查结果的独立性有待商榷,但这些安全漏洞问题并非凭空捏造。即使是知名的软件公司,其产品漏洞也层出不穷。因此,有主见的程序员非常清楚漏洞是无法避免的。
　　使用测试软件可以在一定程度上提高程序质量,但是没有任何一种方案是完美的。
　　同时,开源软件开发者一直在鼓吹“Linus法则”——只要有足够多的人对代码进行审阅,那么所有漏洞终究都会被找到。换言之,开源软件中存在的漏洞会更快被捕获,因此能比专利软件得到更快的修复。
　　但微软程序安全部门经理肖恩·赫曼却指出,程序员只是有能力对代码进行复审,并不意味着在实际中他们会对代码进行复审;而且,事实证明,只有全职付薪的程序员才有足够的动力花费时间复审他人编写的代码。
　　但是所有这些理由都不能作为软件存在安全漏洞的借口。程序员能做的只有提高代码质量。软件发布之后,程序员所能做的就是当漏洞出现后尽快对其进行处理。
　　在光盘或软盘上发布软件补丁的时代早已过去。用户期待补丁程序能够在漏洞被探测到后尽快发布。对于软件公司来说,补丁程序发布得越晚,它们所面临的风险也就越大。
　　软件公司发布补丁的方式有时也会产生一系列问题。之前,为了在漏洞被发现后及时将补丁递送给用户,微软曾在一个月内连续发布补丁。用户开始抱怨这种做法使得IT部门很难对补丁进行及时、准确的评估,带来很多不必要的麻烦。之后,微软转而在周二发布补丁程序,每月两次。这种方法同样被诟病。有些用户称,周三漏洞就可能大规模爆发,因为黑客都争着去攻击那些还没来得及安装最新补丁的用户。
　　随着越来越多的用户开始理解软件存在安全漏洞的现实,用户需要的就不仅是漏洞的补丁了,还需要软件相关安全问题的知情权。也许不久后人们就会认识到,软件公司很少发布补丁并不意味它们拥有高质量的产品,而很有可能是在它们背后隐藏着某些不可告人的秘密。