Vista是否更安全 难下结论

      正如琼斯在报告中提及的："Windows XP未受益于SDL （安全开发生命周期）开发流程，且其它与之竞争的工作台操作系统也未受益于一种类似SDL流程。"所以，不容忽视的是Vista客户端是首个通过微软安全开发生命周期流程开发出来的产品，有着微软至为骄傲的安全性能。SDL流程包括每个新功能威胁模式的建立以及通过外部安全研究人员进行的审查。

　　"对于Windows Vista，从一开始我们每每提及它的任何一个新功能，都先从威胁模式着手，"威尔逊表示。"每个功能都必须有相应的一个威胁模式。当进行开发时您必须知道，如果发现一个不法分子正攻击[一个功能]，您必须做的事情是？评估威胁模式。它在Vista中是崭新的一个开始环节。"

　　威尔逊指出：2006年，微软还雇佣了大量的第三方安全研究人员加入到他们总部工作。这些人被赋予了源代码的访问权，任务是要深入挖掘出所有漏洞。在2006年7月的黑帽安全大会上，其中许多人陆续提呈他们的发现成果，而且微软还为与会者提供了一个Vista beta副本，邀请他们加入到"找漏洞"行列中来。"我们认为这次很大不同点在于，"威尔逊表示。"微软集中从一个端到端工程立场出发正确对待这款产品，并且使用第三方研究人员来找出该产品问题。"

　　如何根据功能的威胁模式反应来对功能进行改动？UAC（用户账户控制）功能就是其中很好的一个例子。微软通过假设以下一种场景加以说明：如果用户正以一个标准用户身份在运行系统且想在采取一个管理行动，他（她）将需提升权限来作为一个管理员才能继续进行操作。威胁模式定位这个问题之前，如果有人通过诳骗使用户错误地认为他（她）正输入密码来进入系统，但事实上用户确实曾给予第三方这个登录名及密码，这时会发生什么呢？

　　"我们决定这种权限的提供必须在一个安全的桌面环境中进行，只有这种环境中代码不可能在被诳骗的用户接口位置运行，"威尔逊表示。"这是[微软创建]威胁模式的一个例子。可能有人会有疑问--有人能伪造这种对话吗？答案是我们看到有潜在可能性，因此我们对该代码作出改变以确保此类威胁的不会发生。"

　　总而言之，Vista是否更为安全，现在下结论还是太早。