据Errata安全公司最近的一项调查显示，软件开发公司越来越重视安全问题，这可能跟用户对安全的需求有关。

　　Errata安全公司的调查结果显示，有50%的软件开发公司表示“在应用程序开发过程中，总会考虑安全问题。”但许多软件公司仍然没有采用软件开发生命周期（SDLC）这种开发方法。而在那些自称考虑安全因素的公司中，也只有一半的公司拥有一套正规的开发方法。

　　Errata安全公司位于美国亚特兰大市。2010年在旧金山举办的RSA会议期间，该公司对位于安全集会B区的46家软件开发公司进行了一项调查。Errata的一位安全项目经理Marisa Fagan表示，虽然一些用户拥有较高的安全意识，并对安全性需求进行了完善的存档，但一般情况下，软件开发公司仍然需要不断改进自己的开发模式。

　　Fagan说：“较之安全，软件其他方面的业务更容易获得利润，这导致安全在软件开发中未能引起足够的重视。”

　　Fagan表示，软件开发者总是在安全问题出现后，才会去求助安全专家。她说，“作为回应，软件开发公司之后会寻求在产品的开发中融入安全编码实践。所以，在某种程度上，安全所贡献的利润不高其实是表明黑客攻击并不会影响业务的正常运转。”

　　在此次调查中，主要的一个方向是调查每个公司使用的是哪一种SDLC开发方法。其结果显示，不同公司所采用的方法有很大的不同。但是，其中有三种开发方法使用的频率最高，它们分别是：Ad Hoc，目前最流行的SDLC；紧随其后的是Microsoft的敏捷式开发（Agile）；排在第三位的是瀑布式开发（Waterfall）。

　　那么，这些方法的区别在哪？开发者又如何来选择某种方法呢？Fagan表示，“有可能采用这些方法的软件开发公司，他们的考察标准是：在使用了这些正式的软件开发模式之后，能否提高开发的效率并减少程序错误。敏捷式开发侧重于对正在进行中的项目进行及时反馈；瀑布式开发更适合于那些基本不需要对版本进行更新的项目开发；而Ad Hoc开发则相对自由，公司可以根据自己的需要选择是否对其正规化，从而产生公司特有的一种开发方式。”

　　从今年二月初开始，微软就在自己的软件开发方法框架内支持敏捷式开发，此举已经得到了那些将安全作为最优先考虑的应用软件开发人员的拥护。Errata的报告显示：在使用过微软敏捷型式开发的公司中，大部分都认为应该将安全问题放在软件开发的首要位置。

　　尽管敏捷式开发处于起步阶段，但Fagan认为这并不是值得消费者对其感到怀疑的理由，她说：“微软公司的软件安全开发生命周期（SDL）和敏捷式软件安全开发生命周期（SDL-Aigle）之所以成功，是由于微软和SDL专业网络的大力支持。”微软安全开发生命周期的一位安全经理Jeremy Dallman认为，微软这个软件巨头才刚刚开始理解SDL对软件开发生态系统的影响。Dallman表示，令他感到鼓舞的是，他的团队在二月见证了在过去18个月中新的敏捷开发模板已有成千上万次的下载量。SDL的框架还将不断改进，以应对新的威胁。Dallman表示，“微软创建的SDL过程是为了能够提供一个明确的指导方针，从而把安全和隐私融入到公司的开发文化中，并针对安全实现一个完整的软件开发生命周期方法，以此在软件发行之前减少漏洞的数量及其危害程度。这也同样适用于SDL-Agile，由于SDL的创建，我们对指导方针也进行了频繁的更新，以适应不断变化的软件开发生态系统和新的威胁。我们也将根据SDL-Agile的应用类型，对其继续进行同样的工作。”

　　敏捷式开发之所以能在初期成功，其原因之一是它能被“搭建（piggyback）”在微软的SDL上。许多组织发现，把Agile 和微软的SDL结合起来使用既简单又有效。

　　根据Errata的调查，46家被调查的企业中有18家表示他们的机构目前还没有实施任何的安全开发方法。Fagan表示，她对这样的结果并不感到气馁，因为相对而言SDL还是一个很新的概念。

　　所以，为什么没有多少公司对安全开发方法投入更多的资源？Fagan认为，这应该归因于公司的高层。一旦消费者要求的安全性更多，公司高层可以把它做成一个商业案例，这样软件公司就能加入更好的安全开发过程。

　　Fagan说，“管理层之所以决定不使用安全软件保证，是因为虽然目的是明确的，但是执行这些方法的成本和资源在很大程度上仍然是未知的。”