安全開發的核心思路在過去的幾年中，攻擊屬性已經改變，安全漏洞也有了明顯而且持續地增多。在安全問題成為客戶優先考慮處理的問題的同時，安全問題也變成了可以影響采購決策的一項市場化標志。通過降低停機時間和其它成本，培養軟件安全意識有助于削減總持有成本。此外，良好的軟件安全性還有助于幫您最大限度上降低遵從法律法規相關的成本。威脅建?？梢詭椭_定要降低風險，應該把資源用在哪些地方。威脅建?？梢詭椭胶獍踩耘c設計目標之間的關系，從而在您的應用程序設計環境中實施有效的安全對策。過去，安全性問題都集中在系統的邊界安全方面。然而，多年來，攻擊屬性已經發生了變化。作為第一道防線，網絡安全仍然非常重要。但，在確保您網絡安全性以外，您還必須要解決在您網絡上運行的軟件的安全性問題。大多數安全漏洞都是由"額外〃功能或者”含有副作用〃功能造成的。額外功能包括，開發商故意添加，但通常不會向用戶公開的行為；而副作用功能則指的是純粹的意外功能，軟件從來就應該以那種方式去工作。維恩圖顯示，應用程序通常有兩種行為：預期行為（用藍色圓圈表示）和實際行為（用白色圓圈表示）。預期和實際行為之間的重疊部分代表的是能夠安全、遵照設計運行的應用程序的那些功能。傳統的bug通常出現在應用程序的某一部分無法正常運行的情況下-也就是說，設計的行為沒有正常發生。但，大多數的安全漏洞都是由被附加的、沒有在程序設計或規格中規定的額外功能，或在發布之前，從來沒有被發現的副作用造成的。由于在傳統的測試過程中沒有發現這些額外的、意料之外的行為，因此應用程序被發布給客戶時可能很容易受到攻擊。從圖表中，您可以看到，1999年到2002年軟件安全漏洞數目增加了一倍。為響應安全需要，微軟、IBM、思科等公司于2002年對其構建軟件的方式進行了更改。他們在軟件開發生命周期的各個階段都對安全性提高了重視?；羧A德和勒布朗所著的"編寫安全代碼”等書籍對開發人員創建安全軟件提供了幫助。由于這些著名企業采取了軟件安全措施，從而帶動了全行業對軟件安全的認識。這種認識對電子商務網站等快速生產環境產生了迅速影響，并且也促成了新安全漏洞數量的下降。在產品新版本取代舊版本的情況下，這種趨勢一直繼續著。企業、政府和供應商都意識到，他們只有以一種新的方式來處理軟件缺陷、要求和發展，才能滿足在安全方面具有遠見卓識的消費者。這種開發安全代碼的需求加大了軟件開發人員和測試人員的工作壓力。2005年，公布的漏洞數量較2004年幾乎增加了一倍，隨后在2005年到2006年又有一個急速增長。鑒于每年增加的安全漏洞，軟件安全性對消費者來說變得越來越重要了。2006年以后，漏洞數量的降低可能要歸功于微軟等大型軟件供應商采取了改進的開發實踐。隨著軟件安全性越來越重要，軟件安全也成為客戶眼中的一個有效的市場指標。現在在購買軟件之前，客戶經常會提出的各種問題：軟件部署的成本多高？安全漏洞會對系統造成怎樣影響？軟件是否需要經常進行打補??？這些補丁需要是否會用于培訓和維護的成本？這些問題的答案可以讓客戶能夠了解總的持有成本有多高。一個軟件Bug就可能產生黑客可以利用的無數個安全漏洞。而對該漏洞進行響應和修復的成本很可能達數十億美元。此外，攻擊者還可能對客戶和消費者帶來極大的痛苦，讓您的企業陷入難以言喻的尷尬境地。軟件安全的三個主要原則是機密性、完整性