软件安全保障之软件安全问题二

风险( Risk)：瑕疵和缺陷会导致风险。风险并不是失败。风险表明瑕疵或者缺陷影响软件效果的概率（风险=概率术影响）。风险衡量还必须考虑可能出现的潜在破坏。高风险不仅可能出现，而且还可能导致巨大的破坏。可以通过技术或非技术的方法来管理风险。

在实践中我们发现，软件安全问题中的缺陷和瑕疵各占一半。这说明，通过代码审核来清除缺陷只能解决一半的问题。对于那些认为软件安全仅仅是编码问题的人来说，这可能会让他们大吃一惊。显然，软件安全并不仅仅与编码有关。Microsoft报告说，在他们正进行的安全推动活动所揭示出来的问题当中，有超过500/0的问题实际上是属于软件设计方面的问题。

建造安全的软件就像建一栋房子。把正确的底层编码（比如使用可能导致缓冲区溢出的函数）比喻为使用坚固的砖块而不是用锯末来做的砖块。对于房子的完整性来说，所用的砖块类型是非常重要的，但更重要的是（如果盖房子的目的是为了将不好的东西排除在外），在设计中包含四面墙和一个屋顶。软件也是一样：使用了哪些系统调用和哪些库以及如何使用它们很重要，但是整体的设计经常取决于更多的方面。到现在为止，软件安全过多地关注代码实现，而忽略了整体设计。

　　软件安全缺点可分为两种基本类型，每一种都导致了大约50%的软件安全问题。