理想中，安全的軟件是不存在任何安全漏洞，能抵御各種攻擊威脅的軟件。現(xiàn)實中這樣的軟件是不可能存在的，因為安全威脅無處不在。

[[274113]]

在軟件開發(fā)的生命周期中，從需求、設(shè)計到實現(xiàn)，如果在安全方面稍有不慎，就有可能將安全漏洞引入軟件。軟件安全保障的思路是在軟件開發(fā)生命周期各階段采取必要的安全考慮和相應(yīng)的安全措施，盡量不能完全杜絕所有的安全漏洞，也可以做到避免和減少大部分安全漏洞。

軟件安全保障是指確保軟件能夠按照開發(fā)者的預(yù)期，提供與威脅響應(yīng)性的安全能力，從而維護軟件自身的安全屬性，避免存在可以被利用的安全漏洞，并且能從被入侵和失敗的狀態(tài)中恢復(fù)。軟件安全保障的目標(biāo)是使軟件可以規(guī)避安全漏洞，按照預(yù)期的方式執(zhí)行其功能，以增強開發(fā)者和使用者的信息。

由于信息系統(tǒng)所承載業(yè)務(wù)的風(fēng)險很大程度上與軟件安全息息相關(guān)，軟件安全保障已經(jīng)成為當(dāng)前信息安全需要解決的關(guān)鍵問題。

如果要保障軟件安全，可以從軟件的安全性上進行考慮。也就是常說的CIA原則，即保密性、完整性和可用性，這幾個屬性也是軟件的核心安全屬性。對于安全性要求較高的軟件系統(tǒng)，在滿足軟件核心安全屬性的基礎(chǔ)上，抗抵賴性、可預(yù)測性及可靠性也是軟件需要考慮的重要安全屬性。