12.1.安全为何如此重要
偶尔会有漏洞引入到软件中。可以说,其中最危险的是那些会导致安全漏洞的漏洞。从技术角度来看,应该通过消灭引起漏洞的漏洞来关闭这些漏洞。然而,处理普通漏洞和安全漏洞的政策是非常不同的。
典型的小 bug 只影响那些启用了触发该 bug 的某种组合选项的用户。开发人员最终会发布一个补丁,然后是一个不再存在 bug 的新版本软件,但大多数用户不会立即升级,因为这个 bug 从未困扰过他们。可能导致数据丢失的关键 bug 代表了一个更严重的问题。然而,审慎的用户知道,除了软件 bug 外,许多可能的意外事件都可能导致数据丢失,因此他们会备份重要数据;此外,关键 bug 将很快被发现。
安全漏洞则完全不同。首先,它可能在多年内未被注意到,因为通常不会导致软件故障。其次,恶意方可能利用它来未经授权地访问易受攻击的系统,破坏或更改敏感数据;在最坏的情况下,用户甚至不会注意到造成的危害。第三,暴露易受攻击的系统通常会帮助攻击者侵入其他无法被攻破的系统。因此,仅仅关闭漏洞是不够的:以最清晰和全面的方式通知受众,这将使他们评估危险并采取适当的行动。
最后更新于