当微软需要帮助来制服其操作系统中出现的大量缺陷时,它把目光转向了一种叫做“静态源代码检查器(static source-code checker)”的技术以及一家叫做 Intrinsa 的公司。
Intrinsa 的产品 PREfast,分析由开发人员创建的代码,然后标示出潜在的问题。软件巨人发现这个程序非常有用,所以它在1999年用6000万美元买下了这家公司。时至今日,已经出现了很多由其他开发人员开发的类似产品,这些产品可以帮助客户堵上程序中的安全漏洞。
对于微软来说,这样的工具已经变成了它的信任计算计划(Trustworthy Computing Initiative)的一个不可分割的部分,信任计算计划的目的是使 Windows 计算机更加可靠。公司的安全编程经理 Michael Howard 说:软件制造商每年培训20000名安全编程方面的开发人员,但是这些工具要求每天都要强化训练。
他说:“我们不是在寻找与五年前相同的(安全)问题。我们已经培养了一些人员,他们理解这些问题,而且这些工具也比以前好得多了。人们现在不写糟糕的代码了。他们第一次写出的代码就比较好。”
很多其它公司已经开始销售与微软使用的静态源代码检查器类似的工具。虽然这些工具至今主要都由一些学术机构开发,其目的是收集关于软件缺陷的数据,但是这些公司认为这些程序已经足够成熟,可以用作商业应用程序。而且,随着一些厌烦安全缺陷的企业信息技术经理的加入,很多人已经打算采用这一技术。
随着用于更好开发而提出的一个技术产业计划,以及Business Roundtable 的一份报告的发布,人们对开发人员的注意已经开始增加。Business Roundtable 的报告指出,封闭的软件制造商不能生产出可靠的产品。公司都依赖于 Internet,不管他们是在在线销售,连接合作伙伴还是只使用电子邮件。然而,根据Computer Emergency Response Team (CERT) Coordination Center 的报道,在过去两年中每年几乎会发现4000个缺陷。
