狙击第三方软件漏洞

      互联网在不断发展的同时，也面临着越来越严峻的安全问题。尤其是那些鱼龙混杂的第三方软件，往往容易成为黑客们攻击的对象。

　　微软的统计数据表明，2008年，在出现的所有安全漏洞里面，与操作系统相关的漏洞少于6%;与此同时，与第三方应用软件相关的漏洞占了90%到94%。产生这一问题的原因在于：大的操作系统厂商在开发的过程中，特别注重在安全性方面的表现，产品的整体安全性得到了提高。对于黑客来说，攻击操作系统变得越来越困难，于是他们就把攻击的目标转移到应用软件，因为应用软件很多是由第三方来开发的，他们优先考虑的是实现功能，而不是它的安全性，由此就产生了一些安全漏洞。

　　为了抵御第三方软件引起的漏洞，保证软件开发过程中的安全性和可靠性，微软创立了SDL(软件安全开发生命周期)这一方法论。它一共分为10个阶段，在软件开发的每一个阶段中，从安全教育、安全设计，到安全响应，微软都将安全性植入软件开发中，有效降低了安全漏洞和隐私问题的数量，以及残留漏洞的严重性。

　　SDL作为独立于微软Windows平台的安全方法论，同样适用于Linux等开源系统，可以满足各种平台软件开发者的安全需求。

    微软战略安全官裔云天告诉记者：“在微软，这一方法论的贯彻使得微软产品的安全性取得了显著的提升。“微软第七期安全研究报告显示，2009 年上半年，在所有配置中，采用全新安全内核设计的微软操作系统Windows Vista 的感染率远远低于 Windows XP 的感染率。Windows Vista SP1 的感染率比 Windows XP SP3 低 61.9%。“所以，我们现在也推荐第三方软件开发商能使用SDL这一方法论来提升软件的安全性。”裔云天说。

　　裔云天还说：“微软想把SDL作为信息安全国际标准CC(信息技术安全评价共同标准)的一个重要部分提出来，这样它将成为一个新的行业标准。”（文章来源：中国计算机报）