軟件為什么經常產生安全問題

軟件經常產生安全問題的原因有以下幾點：

• 軟件開發安全意識淡薄

  傳統軟件開發更多的重視軟件功能，而不注重對安全風險的管理。軟件開發公司工期緊、任務重，為爭奪客戶資源、搶奪市場份額而倉促發布軟件。軟件開發人員將軟件功能視為頭等大事，對軟件安全架構、安全防護措施認識不夠，只關注是否實現需要的功能，不從“壞人”的角度來思考軟件安全問題。

• 軟件開發缺乏安全知識

  傳統軟件公司中，公司管理層和軟件開發人員都缺乏軟件安全開發知識，不知道如何才能更好地實現安全的軟件。公司管理層缺乏軟件安全開發的管理流程、方法和技巧，缺少正確的安全經驗積累和培訓教材。軟件開發人員大多數僅僅從學校學會編程技巧，不了解如何將軟件安全需求、安全特性和編程方法進行結合。

• 軟件趨向大型化和復雜化

  現代軟件功能越來越強，功能組件越來越多，軟件也變得越來越復雜。從表10-1可以看出，操作系統的代碼量是相當驚人的，而且隨著版本的更新，代碼量迅速增加。現在基于網絡的應用系統更多地采用了分布式、集群和可擴展架構，使得軟件的內部結構錯綜復雜。研究顯示，軟件漏洞的增長同軟件復雜性、代碼行數的增長呈現正相關的關系，即“代碼行越多，缺陷也就越多”。

• 軟件第三方擴展增多

  目前軟件應用向可擴展化方向發展，成熟的軟件也可以接受開發者或第三方的擴展，系統功能得到擴充，以滿足用戶不同的需求。如Firefox和chrome瀏覽器支持第三方插件、Windows操作系統支持動態加載第三方驅動程序、Word和Excel等軟件支持第三方腳本和組件運行等，這些可擴展性在增加軟件功能的同時，也加重了軟件的安全問題。

• 軟件使用場景更具威脅

  計算機網絡技術拓展了軟件的功能范圍和使用的方便程度，軟件應用獲得了極大的發展。與此同時，網絡環境也給攻擊者帶來了更多的機會，給軟件帶來了更大風險。由于軟件被應用于各種環境，會面對不同層次的使用者，這使得軟件開發需要考慮更多的安全問題。同時，黑客和惡意攻擊者可以比以往獲得更多的時間和機會來訪問軟件系統，并嘗試發現軟件中存在的安全漏洞。軟件存在漏洞和缺陷是不可避免的，可以使用缺陷密度，即每千行代碼中存在的軟件缺陷數量，來衡量軟件的安全性。如果采用嚴格的軟件開發質量管理機制和多重測試技術，軟件公司的缺陷率要低得多。

回答所涉及的環境：聯想天逸510S、Windows 10。