1.5 漏洞的来源
对于软件购买者而言,软件公司自身就是一个真正的挑战:它们的编码水平和基础设计能力都应该持续改进。一些公司希望销售更多的产品,所以他们不断推出更多的功能,而不是去提高前期代码产品的安全性。他们可能开发了一种新的电子通讯协议或一项使用该协议的新应用,但他们却从没有在一开始就试着确保该协议的安全。在及时将漏洞告知用户和发布补丁方面,软件供应商的表现也并不令人满意。这是由于在软件供应商看来,打补丁是一件得不偿失的工作,因为没有人会为这些额外的开发工作埋单。由于缺乏内在动力,上述问题难以解决。在某些情况下,部分供应商可能在市场中处于绝对的垄断地位,消费者很少有其他选择。在这种情况下,更换软件制造商代价巨大,因为公司可能已在数千个结点部署了该软件,数百名训练有素的技术支持工程师也已经只熟悉该软件。
