12.1.安全为何如此重要
软件中偶尔会引入漏洞。可以说,其中最危险的是那些会导致安全漏洞的漏洞。从技术角度来看,这类漏洞需要通过消除导致它们的漏洞来关闭。然而,处理普通漏洞和安全漏洞的政策是非常不同的。
一个典型的小漏洞只影响那些启用了某些选项组合的用户,这些选项触发了该漏洞。开发者最终会发布一个修复补丁,然后发布一个新的软件版本,修复了该漏洞,但大多数用户不会立即升级,因为该漏洞从未困扰过他们。一个可能导致数据丢失的严重漏洞代表了一个更严重的问题。然而,谨慎的用户知道,除了软件漏洞,很多可能的事故也有可能导致数据丢失,因此他们会备份重要数据;此外,严重漏洞很快就会被发现。
安全漏洞则完全不同。首先,它可能会保持不被注意多年,因为它通常不会导致软件故障。其次,恶意方可以利用它获得对易受攻击系统的未经授权的访问,销毁或更改敏感数据;在最坏的情况下,用户甚至不会注意到造成的损害。第三,暴露一个易受攻击的系统通常会帮助攻击者入侵其他本来无法突破的系统。因此,修复一个漏洞本身是不够的:需要以最清晰、最全面的方式通知受众,让他们评估风险并采取适当的行动。
最后更新于