20年前就向美國國會揚言可在30分鐘內致癱互聯網的著名黑客，現在奮戰在了軟件業，日常工作就是各種證明“大多數產品都禁不住網絡攻擊”。

派特·扎克，黑客界蜚聲遐邇的“Mudge”大神，波士頓先鋒黑客組織L0pht著名成員，最近，他主導了一項國防部撥款支持的計算機安全項目。現在，他和他妻子——前國家安全局數學家莎拉·扎克，正在開發一套消費者報告類型的軟件評級系統。

如果該項目引人關注，或許會為一些大型軟件公司的商業模式帶來重大改變。另外，也能帶來一些自由市場、開源運動、政府委托和法律界這幾十年都欠缺的東西：持續安全的軟件，或者說至少入侵成本非常高的軟件。

今年的美國黑帽安全大會上，兩位展示了他們系統的工作原理，點明了他們分析結果中的早期贏家和輸家。

初步調查結果中：蘋果麥金塔電腦、谷歌Chrome瀏覽器是最難攻克的，比蘋果Safari難攻擊得多，而Safari又比火狐瀏覽器安全得多。微軟的很多產品目前也得分良好，但其Office套裝的Mac版表現堪稱糟糕。

扎克夫婦的系統被他們永久授權給了一個新的非營利組織。這個系統是一個奔著解決困擾軟件客戶幾十年的棘手問題而去的瘋狂嘗試。棘手問題是什么呢？軟件界一直沒有公正一致的程序安全性評級方法！

在訪談中，派特·扎克說：“我們需要一張成分標簽。或許你只關心糖，或者碳水化合物，或者蛋白質，但如果我們干脆全列出來呢？這樣營養師就能幫你挑出合適的配餐了。”

因為沒有其他方法可以確保安全軟件有用，這樣一種評級系統就顯得非常有價值了。法庭認為，軟件是授權制，而非售賣商品，因此，就算有缺陷也不能提起產品責任訴訟。大買家可以堅持第三方代碼審計，但那是個費時費力的過程，極少有公司可以對每款新購軟件都堅持審計的。

政府和私人認證項目，通常會刺激軟件開發僅符合最低要求而懶得花更多精力將軟件打造得更安全。扎克夫婦的方法，并不是從檢查計算機代碼本身開始，而是直接檢查代碼編譯的數字輸出，也就是那些告訴機器該做哪些動作的二進制文件。

莎拉·扎克說：“源代碼是理論，而二進制是實踐。在實際產品的安全程度上，二進制才是決定性因素。”新方法顯示出了編譯器這個將源代碼轉化為二進制的工具，所扮演的關鍵角色。在防止編譯器缺陷上，我們已經取得了重大進展，但依然留有很多漏洞。

對軟件評級的細粒度結果最感興趣的，是保險公司——他們承擔著很大的估算被黑合理保費的重壓。但即使沒有具體的金融壓力，扎克夫婦也希望軟件買家能更關注風險寄生處，然后對此做些什么，迫使軟件作者拿出更好的作品。

“我們已經坡腳前行了那么久，希望這次我們的系統能幫助軟件人跨越障礙。”