風(fēng)險( Risk)：瑕疵和缺陷會導(dǎo)致風(fēng)險。風(fēng)險并不是失敗。風(fēng)險表明瑕疵或者缺陷影響軟件效果的概率（風(fēng)險=概率術(shù)影響）。風(fēng)險衡量還必須考慮可能出現(xiàn)的潛在破壞。高風(fēng)險不僅可能出現(xiàn)，而且還可能導(dǎo)致巨大的破壞。可以通過技術(shù)或非技術(shù)的方法來管理風(fēng)險。

在實踐中我們發(fā)現(xiàn)，軟件安全問題中的缺陷和瑕疵各占一半。這說明，通過代碼審核來清除缺陷只能解決一半的問題。對于那些認為軟件安全僅僅是編碼問題的人來說，這可能會讓他們大吃一驚。顯然，軟件安全并不僅僅與編碼有關(guān)。Microsoft報告說，在他們正進行的安全推動活動所揭示出來的問題當中，有超過500/0的問題實際上是屬于軟件設(shè)計方面的問題。

建造安全的軟件就像建一棟房子。把正確的底層編碼（比如使用可能導(dǎo)致緩沖區(qū)溢出的函數(shù)）比喻為使用堅固的磚塊而不是用鋸末來做的磚塊。對于房子的完整性來說，所用的磚塊類型是非常重要的，但更重要的是（如果蓋房子的目的是為了將不好的東西排除在外），在設(shè)計中包含四面墻和一個屋頂。軟件也是一樣：使用了哪些系統(tǒng)調(diào)用和哪些庫以及如何使用它們很重要，但是整體的設(shè)計經(jīng)常取決于更多的方面。到現(xiàn)在為止，軟件安全過多地關(guān)注代碼實現(xiàn)，而忽略了整體設(shè)計。

　　軟件安全缺點可分為兩種基本類型，每一種都導(dǎo)致了大約50%的軟件安全問題。