現(xiàn)實是上面沒有一條能很快解決。但是軟件出現(xiàn)漏洞就其本身而言，真不是什么大問題。說它脆弱是因為這些軟件在面對惡意攻擊的時候毫無抵擋之力。除非我們能制止黑客的猖獗行徑，否則惡意軟件將會一直困擾著我們。

但是我依然深信，將來有一天我們的互聯(lián)網(wǎng)會有更好的普遍標(biāo)準(zhǔn)出臺，我們能在現(xiàn)實中及時地將那些損害大家利益的家伙繩之以法。不過在此之前，我們還是得不斷地寫補(bǔ)丁，在黑客的狂轟濫炸下茍延殘喘。

缺乏對供應(yīng)商的問責(zé)

許多安全專家抱怨，只要我們不能找到證據(jù)起訴供應(yīng)商的軟件缺陷，我們就永遠(yuǎn)不會變得更安全。我贊同這一點(diǎn)，增加對供應(yīng)商的問責(zé)有助于降低安全風(fēng)險，但是同時卻有可能會減緩進(jìn)度。不過如果軟件公司比現(xiàn)在更能擔(dān)當(dāng)起責(zé)任來，那么我想我們能在手機(jī)上、電腦上能自由自在沖浪的感覺會更爽。

但是成功源于功能和速度，而非安全。社會現(xiàn)狀決定了我們必須犧牲一部分安全和保障去換取新鮮感。這不一定是壞事——因為能讓我們成功得更快。但是這樣一來我們就不得不承擔(dān)這樣做的后果。不過到目前為止，我們還是心甘情愿為了添加更酷的新鮮玩意兒而面對更多的風(fēng)險。

新近冒出來的Fuzzers軟件主要用于掃描軟件漏洞。Fuzzers——以及其他用于尋找編碼錯誤和漏洞的任何程序——都是人寫出來的，還是這句話，是人就會犯錯誤。例如Fuzzers是不會發(fā)現(xiàn)顏色屬性的緩沖區(qū)溢出這種情況的，這是因為我們在寫Fuzzers的時候沒有考慮這一方面。不過當(dāng)我們意識到這一點(diǎn)并對Fuzzers進(jìn)行更新之后，就能做到去查找各種類似的緩沖區(qū)溢出條件的字段。簡而言之，我們要Fuzzers做什么，它才會去做什么。

大多數(shù)——當(dāng)然不是全部——軟件bug源于我們自己犯的錯誤。雖然有些是因為軟件編碼工具和編譯器發(fā)生了意外，但是大部分的錯誤得歸咎于我們自己。

無論我們受到的SDL培訓(xùn)和安全工具有多么強(qiáng)大，只要我們還是人，我們就會犯錯。如果你想問為什么電腦軟件會有這么多的漏洞，歸根到底是因為，人的天性就是容易犯錯。

也就是說，我們在減少人為錯誤方面做得還不夠。有很多程序員因為沒有受到足夠的SDL培訓(xùn)（有的甚至干脆就沒有培訓(xùn)），所以根本就沒有安全編程的理念。有時候我特別奇怪：有那么多的程序員以寫安全軟件為生，卻居然不懂如何安全地編程。別不信，我敢打賭，你正在運(yùn)行的銀行安全軟件中的bug不會比它能提供的保護(hù)措施少，搞不好甚至更多。

但是即使是那些經(jīng)過嚴(yán)格訓(xùn)練的程序員還是不可避免出現(xiàn)bug。舉個例子，前不久有個自鳴得意的家伙發(fā)明的使用HTML標(biāo)記字段確定顏色的緩沖區(qū)在瀏覽器中溢出了。不像以前還要輸入FFFFFh之類的東西，黑客甚至可以直接執(zhí)行顏色域的代碼，從而導(dǎo)致瀏覽器過度消耗資源、緩沖區(qū)溢出�？吹�?jīng)]有，這就是漏洞！而且很少會有人能預(yù)料到這種情況。