软件研发者应该对自己所编写的代码的安全性担负责任，前白宫网络安全顾问Howard Schmidt 这样认为。

目前是R&H安全咨询公司（R&H Security Consulting）首席执行官的Schmidt在星期二的“SecureLondon 2005”会议上如是说，同时他也呼吁为软件研发者提供更好的培训。他认为许多研发者的水平还不足以编写安全代码。

“在研发软件的过程中，我们需要研发者的个人品质保证，即保证他们所编写的代码是安全可靠的，” Schmidt说。他用最近认识的几个开发人员举了个例子，他们开发出了一个使用安全套接字协议层（SSL）与后端数据库进行数据交换的Web应用程序。

“他们有坚固的身份验证、严格的密码和加密的通道。存储的数据也是加密的。但是当数据传到购买机构的时候，竟然是以纯文本文件的形式传过去的！这不是一个端到端的解决方法。我们需要研发者对端到端的解决方法承担个人责任，这样的话，我们才能直接问他们，‘这完全安全吗？’” Schmidt说。

Schmidt同时也引用了微软最近的一份调查，这份调查发现64%的软件研发者对他们是否能够编写安全可靠的应用软件不是很自信。Schmidt认为解决方法是进行更好的培训。

“过去，大多数大学课程关注的是可用性、可伸缩性和可管理性——而不是安全性。现在，许多大学正在重视信息的保障和安全。但是过去，网络应用软件的开发是用鼠标点击来衡量的，就是看用户能不能只用鼠标就能操作，” Schmid说。

Schmid认为，公司也应该在开发软件的过程中发挥作用，在聘请准员工之前应该检查他们有没有达到相关的安全方面的要求。

英国计算机协会（BCS）也同意软件开发应该带有相关责任，但是它认为公司应该为其员工所编写的代码的安全性承担责任，而不是员工。

“霍华德说软件开发人员应该为其编写的代码的安全性承担个人责任，这话说得有些过头了，但是我们都同意他所表明的意思。我知道许多研发者将会对这种需要承担的义务感到很不适应，特别是法律责任。确保软件的安全特性得到严格的检验应该是公司的责任，”英国计算机协会的一个安全代表在接受一个采访中这样说。

“另外一点就是代码不是固定不变的。购买之后，代码是能够被修改的，”这个安全代表补充道，这也暗示可以减少个人的责任。

另外，许多安全侵袭能够得逞是因为用户没有安装最新的补丁软件，或者是没有正确地安装系统。

购买者自己也应该为他们购买的软件的安全性承担一定的责任，英国计算机协会的代表说。“软件应该与其开发的目的相匹配，这对创造一个可信赖的在线环境是至关重要的，”他说。

责任编辑：张琎