微软：无懈可击的软件并不存在

ZDNet至顶网软件频道消息：InfoWorld报道称，正当微软设置程序以提高自己软件的安全性，甚至开放这些程序供其他人使用的时候，该公司的一位主管表示，完全没有风险的软件并不存在。

本周在旧金山召开的微软安全发展会议上，微软负责可信赖计算部副总裁Scott Charney详细介绍了微软从出现问题后发布补丁到按照自己的安全发展周期（Security Development Lifecycle，SDL）程序进行操作的发展路程，后者让安全性有了本质上的进展。“早些时候，那就像玩一个打鼹鼠的游戏。出现问题，发布补丁。”Scott Charney说道。

2004年，微软启动了SDL，并应用到连接互联网的产品上，在企业中使用或用来存储、处理个人信息。以降低产品脆弱性为目标的SDL得以部署并纳入发展周期。“最后的安全检查步骤”被用来评估一个产品是否存在会导致发布重要安全公报的安全问题。

但SDL程序却给产品开发团队带来一些麻烦，当开发团队正准备进一步推进产品时，微软新的安全要求却让他们停顿下来。“当我们第一次告诉一个产品开发团队他们不能推出产品时，他们的反应就像车头灯下的小鹿。”Scott Charney说道。

虽然SDL减少了用户的麻烦并大幅降低了产品的脆弱性，Scott Charney指出，微软明白永远不能将脆弱性降至为零。“那是不可能的——软件是人写的。他们会犯错误。”总是会有一些捣乱的人，Scott Charney强调。“因为总有一部分人不怀好意，我们必须做安全发展的工作。”