BT CounterPane的CEO Bruce Schneier曾经说过，软件应该为产品的安全漏洞负法律责任，当然这种说法或许是错的，但这一观点却引起了深受其害的用户的兴趣。

     其实，在他的观点中，有一项是正确的：制造业的确需要一种好的反馈机制，籍此获得深受其害却无处投诉的受害者的反馈。

     Schneier的基本观点是无可争辩的，也就是说安全行业事实上是花费高额资金来保护用户，使他们免受漏洞软件的侵害。任何其他商业领域都不会对完全无责任的失误来负责。

     有一些与Schenier相对的观点，更注重实效，其中包括可能会对软件创新（特别是开放源码软件）有抑制作用的看法。因为软件设计非常复杂，以至于对于任何一个创造者来说，确保其产品完全无漏洞几乎是不可能的。并且这还是在软件义务保护的成本被评估之前。在美国的法律下，公众义务的执行状况似乎不是很好，在某些领域（比如医疗看护行业）的执行只是增加了基础成本从而使法律专业人士更加富有，完全没有增加实际的安全性。

     如果制造一个有漏洞产品的风险，或者生产者需要承担的服务责任事实上成为了另一风险（这一风险可由购买的保险抵消），实际上改变的是什么呢？软件价格会更高，而当仅有少量不可消除的安全漏洞存在时，保险销售人员可以做出更多承诺。安全保护仍然是必要的，因为很多安全问题与下述三方面有关：安全产品的使用方式；没有使用安全产品；或者还未制造出相关安全产品。

     这里有一个被称作“揭发”的值得一试的替换方法。不要让软件公司为其漏洞代码负责，让他们的商业用户为漏洞代码造成的危害负责。换句话说，不要惩罚由于疏忽生产出漏洞产品的人，惩罚那些让漏洞被开发出来以至于危害了人群的人。

     如果漏洞代码导致数据不安全——对于一个不安全结果的最佳测量方式——接下来惩罚那些坚持他们做了很周密的声明以使得这一状况发生的公司。对他们进行罚款，进行谴责，记录在案，并使应对这一问题负责的供应商感到羞愧。如果必要的话，让他们的董事为导致消费者受到损失的事件进行解释，无论这些问题是由于操作不当导致的，还是由于软件漏洞导致的，都要将所受损害的一部分转加给软件供应商，或者是通过不购买他们公司的产品的方式，或者是通过起诉的方式。

     美国的一些州已经颁布法律：至少要坚持义务揭发数据缺口。现在仅仅是个开始，但是我们看到这一法律已经开始起作用。人们由于安全疏忽而丢掉工作说明损失已经被转加。如果数据泄露或者被滥用，为什么普通公众不能指控那些公司。如果软件公司直接受害，结果将怎样？如果他们现在还没有，他们最终将感到法律的力量。

     现在才是个开始，这个反馈机制也很不健全。很多国家很明白用手投票的道理并且什么也不做—比如英国——因为需要对问题负责的公司已经说服政界要人相信将安全失误公开申报是没有任何意义的。

     同时，权威人士做了大量投资，由于他们认为要求公司遵从是强制公司尽自己的一份力的一种方式。正如很多人所指出的，要求公司遵从加强了工业秩序，但是从长远来看却不一定有更好的结果。

     要求遵从，辨证地说，对于增加实际安全性来说过于含混的一种机制，并且它以复杂的避免公司商业犯罪行为——此类行为在美国商界愈演愈烈——的反馈机制来做掩饰。从遵从机制中真正得到好处的部门是执行审查的行业。

     你只能为安全公司CEO的诚实而喝彩。关于大多数人所认为什么是真实的，Schneier的言论是值得信任的，当说到安全性时，软件公司侥幸成功。他们因为开发代码而不是开发出无漏洞的代码而获利，微软公司的历史正是这一商业道德怪异扭曲的真实写照。但是由于从某些标准来看它却相当公平，雇佣一个律师或许并不是使软件巨头改善和发展的最好方法。