那天去TENCENT做安全測(cè)試的交流，聽到一個(gè)很奇怪的理論：TENCENT不是賣軟件的，是賣軟件之上的服務(wù)的，由于軟件不直接收到錢，不愿意對(duì)軟件的安全問題花錢，只愿意對(duì)服務(wù)的安全問題買單。

但我覺得

1）服務(wù)是基于軟件的，沒有了軟件，也就沒有了服務(wù)的載體。雖然賣的是服務(wù)，沒有靠軟件直接收錢，但是用戶對(duì)軟件的信任度會(huì)直接影響到服務(wù)。無論是賣服務(wù)還是賣軟件，都必須且有責(zé)任改善自身產(chǎn)品的安全質(zhì)量，以保護(hù)自己用戶的安全，不能因?yàn)槟悴皇琴u軟件的，但用戶因?yàn)槭褂媚惆l(fā)布的軟件遭受到的安全問題你就可以置之不理。

2）基于服務(wù)的軟件更需要注重安全，我可以說個(gè)案例，04，05年：TENCENT的QQ附帶的QQMAIL工具,大量拷貝微軟IE的DLL到自己目錄下使用而很少跟進(jìn)IE的補(bǔ)丁升級(jí)，導(dǎo)致微軟IE補(bǔ)丁修復(fù)后的漏洞，QQMAIL里還存在，結(jié)果導(dǎo)致我認(rèn)識(shí)的很多朋友因?yàn)檫@個(gè)遭受過重大損失，基本都棄用QQMAIL工具，我的機(jī)器也因?yàn)檫@樣的安全漏洞被成功入侵過，雖然及時(shí)發(fā)現(xiàn)沒有導(dǎo)致更多損失，但是到現(xiàn)在我都養(yǎng)成習(xí)慣，哪怕是現(xiàn)在QQMAIL改成WEB形式了，QQMAIL里的來信一律不收不看，也不會(huì)以QQMAIL作為自己使用的郵件,另外也對(duì)QQ會(huì)大量使用IE DLL的瀏覽器也拒絕使用并且讓所有認(rèn)識(shí)的親戚都不要使用，不是因?yàn)閷?duì)TENCENT有偏見，而是對(duì)以前因這些產(chǎn)品的安全問題導(dǎo)致自身的安全的事件記憶深刻?？梢哉f，只要用戶明白了自己的損失是某個(gè)軟件的安全漏洞造成的，都會(huì)長期丟棄對(duì)應(yīng)軟件之上的服務(wù)的，而且基于通訊服務(wù)的軟件，對(duì)安全性要求更高，一個(gè)不可利用的CRASH如果能導(dǎo)致用戶無法使用軟件，也會(huì)造成服務(wù)的失效，所以基于服務(wù)的軟件更需要注重安全。

以上所言，是希望TENCENT主管安全的大佬們能夠思考一下，并無批評(píng)TENCENT之意，就國內(nèi)軟件企業(yè)對(duì)自身產(chǎn)品安全的重視和實(shí)施安全的力度和能力而言，TENCENT和阿里是我覺得國內(nèi)做得最好的2家公司。  

【編輯推薦】

1. IM軟件安全保衛(wèi)戰(zhàn)已經(jīng)開始
2. Adobe強(qiáng)調(diào)安全軟件開發(fā)生命周期