软件安全性怎能留给市场检验

人们对于厂商发行不安全或是错误百出的软件的行为予以惩罚的呼声越来越高。

你敢走上一座由软件开发商建造的桥梁吗？反正我是不会的。而Oracle的首席安全官（CSO），Mary Ann Davidson也不会。据报道，于前不久在爱丁堡举行的WWW2006会议上，Davidson承认了一个我们当中许多人知晓已久的事实：整个软件行业都无法向用户提供完全安全可靠的软件系统。

Davidson还说道，越来越多的CSO认为开发商对软件安全性持有一种懈怠的态度，因此确立一些规章来督促他们做好份内的事也是非常必要的。

尽管软件行业已经做出了人们期盼已久的自我检讨，但是安全性问题已经造成了将近600亿美元的损失，Davidson的提议确实是对的，我们亟需改变我们对软件可靠性的态度。

IT已经变成了一个受益范围广泛的行业，尽管它为厂商带来了巨大的利益，但这同时也意味着客户的要求会越来越多，一名IT主管会觉得检测和梳理软件故障过于困难、繁琐，而一名对软件投资了上百万的CEO想要的则是好使的软件。然而尽管客户进步了，许多厂商仍然把软件的新特征及快速的发行速度看得比软件的可靠性、安全性更重要，否则那些厂商该有多少意见。

那么我们应该做些什么呢？显然，许多厂商的回答都是将软件留给市场来检验。他们说：“如果顾客想要安全的软件的话，他们会购买那些对测试环节投资最多的厂商的产品，以此来迫使竞争对手追赶他们。”这听起来似乎很有道理，但是事实上这些理论是非常精打细算的。在将近20年的时间里IT都是大部分商业的中心，而许多开发商仍然将测试环节视为一项不必要的麻烦工作，并没有将其看作开发过程中严格的一环。

对于我们当今的经济和社会结构来说，IT系统占有着同交通网络同等重要的地位。但是对于土木工程师来说，有无数规章管理监督着他们以确保公路和桥梁的安全性，而且一旦他们被查出有所疏忽就将负上严重的法律责任。而另一方面那些开发电子网络的人们并不会因为发行了有问题的软件而引起人们的任何反应。

开发商常常不屑于这样的比较，他们认为桥梁并不能与复杂的电子编码相提并论。尽管不可能有100%无缺陷的软件，但是如果在测试过程投入足够的时间和金钱，开发出比现行版本更安全的软件还是可能的。

全面的监测能够使产品更新不再那么频繁，同时也将提升软件价格，但是除非软件产业打算严格开发所有的商业软件，而不仅仅是在面对最挑剔的系统时才那么做。但企业有权力向监管机构施加压力以保证新软件最终会像英国的Severn Bridge大桥一样坚固稳定。