思考：为什么微软的软件会有这么多安全问题。

kings727

8月9消息，微软8月份的补丁星期二将发布9个安全补丁，其中有5个是严重等级的安全补丁。这9个安全补丁中有8个安全补丁是修复Windows软件中的严重安全漏洞，1个是修复Office软件（以及Visual Studio、微软ISA Server和微软BizTalk Server）中的一个严重的安全漏洞。
         微软的开发能力和测试能力一直都在在IT界前沿，但是为什么还会有这么多严重的问题了，那这些问题到底是微软早就发现了，只是由于某种原因没有修改；还是真的漏测了。
     其实我最关心的是如果是漏测，那为什么会出现漏测

nome

菜鸟来学习

hhwwxx

微软内部是专门的安全测试部门。。每个发布的软件，都要经过安全测试，否则，不能发布。。。设计也要经过安全部门的审核。所以我觉得，微软在这方面已经做得不错啦。不过系统过于复杂，系统交错过多，而且有许多不同的调用者和被调用的关系。。。这也许是微软经常打补的原因。不过他经常打补，也是因为他对用户负责呀。

dabeixiong

用的人多又复杂...这就是根本
我是没听说过谁做个1+1=2的计算程序有啥漏洞的...另外谁要是做出个操作系统，声称0bug0漏洞，让张三李四王五...一干人等一用，啥问题都出来了...

再思考的话那就更是根本的东西了：这世上就没有完美的东西-.-!

[ 本帖最后由 dabeixiong 于 2009-10-7 21:27 编辑 ]

GeorgeWangLC

微软的盗版、正版客户都在帮助微软呢

tjxuhongwang

用的人多了，所有人都是测试的

mklodoss

因为用的人多啊。

风中一片雪

二楼正解

yanjia

顶二楼

xiao_hb

同意二樓觀點

keevinl

更好的理解方式

林子大了什么鸟都有

理解没？

chech28

楼上正解，安全测试里很重要的一个步骤就是投入/收益评估，没有必要也没有可能做所谓完全测试。

puchonghui

首先我忍不住要说：到底是谁提出漏测这个词汇的？？
什么叫漏测？ 难道要完全测试才算不漏测么？
既然没有完全测试，那bug就是可能存在的。发现任何bug都很正常 （尤其是你不懂系统的实现，仅仅做了功能测试的前提下）

windows的bug多，有个重要原因是windows过于复杂。

至于安全性测试，和其他测试类别不同，安全问题需要进行比较细致的收益评估。 因为一个破坏者可以花上几个月甚至几年时间来发现一个漏洞，但是一个测试人员如果一年找到一个bug，这样的成本通常是无法承受的。
所以如果我是windows的pm的话，我会把一些可能有安全问题但是很难造成严重后果的放在一边，等着外人去发掘漏洞。  把精力着重于一些可能会造成严重后果的问题上。
事实上，虽然有那么多的安全补丁，但是安全漏洞造成大规模严重后果的并不多（冲击波算是一个了）。有些破坏者其实是在帮ms做安全测试。。。