软件中偶尔会引入 bug。 毋庸置疑, 安全漏洞是最为危险的。 从技术角度看, 这些漏洞可以通过消除导致它们的 bug 来修复。 然而, 处理一般的 bug 和安全漏洞的策略是截然不同的。
典型的小 bug 通常只影响那些启用了某些能够触发它的选项组合的用户。 开发人员最终会在发布没有那个问题的新版之后给出一个补丁来修正它, 而用户中的主体并不会立即升级, 因为他们并没有因存在问题而感到苦恼。 严重的 bug 可能会导致数据丢失和其它问题, 无论如何, 谨慎的用户知道, 除了软件 bug 之外还有很多其它事故可能会导致数据丢失, 因此他们会备份重要数据; 此外, 严重的 bug 通常会被很快发现。
安全漏洞则完全不同。 第一, 它们可能存在数年而不被发现, 因为它们可能并不导致软件无法正常工作。 第二, 通过利用漏洞, 恶意的一方可能会得到未获授权的访问权限, 并利用这些权限毁掉或修改敏感数据; 而更糟糕的情况则是用户可能根本注意不到损害已经发生。 第三, 暴露出安全漏洞的系统, 往往能够帮助攻击者闯入其它之前不可能进入的系统。 因此, 只是修正安全漏洞是不够的: 必须以清晰和全面的方式通知公众, 这样他们就能够评估风险, 并采取适当的措施。