现在发现并宣布的新漏洞令人担忧。每天发现10个漏洞，就像时钟一样准确，使计算机安全雪上加霜。这些有受虐倾向的新闻受到人们的欢迎。事实是，这些最新的漏洞，不考虑个人身份和特点，是安全专业人员的美食，使我们有事可做，看起来有助于增强我们计算机基础设施脆弱的防御系统。

　　安全专业人员认为应该进行漏洞搜寻的原因有两个：

　　1）知道某个漏洞比不知道好。这个论点还有个推论，每发现一个漏洞就少了一个隐患。问题是我们永远不会发现所有的漏洞。即使我们做到了，我们也不能改进或者谨慎使用。最大的可能性是（如果以史为鉴），开发者每天制造出比所能发现的更多的漏洞，进一步退两步。

　　2）我们在黑客利用漏洞前发现漏洞比较好。当涉及到官方间谍、访问源代码等问题时更是如此。试图发现这些漏洞的初衷是好的，但是没有效果。有太多漏洞可选，我们如何判断工作重点？即使我们知道答案，黑客也知道并且转移重点同样容易。我们每次预言黑客的行为都会失败，因为没有办法控制他们。

　　经过分析，这两个理由都不是继续搜寻漏洞的基础。但是如果我们考虑一下结果会更糟。

　　媒体制造出繁荣假相，误导新手作出错误决定或者误入歧途。（我们之所以说是新手，是因为真正的黑客几乎没有理由加入这场闹剧。）它分散了我们对真正的黑客的注意力，黑客潜伏在蠕虫和病毒的纷扰中，这种纷扰无异于十几岁的青少年与真正的受害人玩一场高科技游戏。黑客们有更大的目标。我怀疑当人们将注意力都放在这种纷扰中时，是否还会相信恶意威胁的存在（我确信）。

　　这是基本利益冲突，因为任何设计并出售安全解决方案的安全公司，都会利用他们的发现在网上制造紧张气氛。这是被普遍忽略的要点——这就像是向需要的人销售火灾保险，制造火灾使人们相信FUD，从而实现创收。最近越来越多的对安全产品的攻击，变成了诽谤。

　　最后，发现漏洞没什么了不起的。想想可以为改进性能、抑制威胁做些什么吧。例如就像化学界里的“材料安全清单”，辨析可用的复杂软件，建立“软件安全数据清单”。部署和追踪蜜罐来吸引黑客，浪费他们的时间。开发技术威胁模块阻止攻击，不论漏洞是否是已知的。精通命令，控制botnet，削弱攻击者。