理想中，安全的軟件是不存在任何安全漏洞，能抵御各種攻擊威脅的軟件。現實中這樣的軟件是不可能存在的，因為安全威脅無處不在。

[[274113]]

在軟件開發的生命周期中，從需求、設計到實現，如果在安全方面稍有不慎，就有可能將安全漏洞引入軟件。軟件安全保障的思路是在軟件開發生命周期各階段采取必要的安全考慮和相應的安全措施，盡量不能完全杜絕所有的安全漏洞，也可以做到避免和減少大部分安全漏洞。

軟件安全保障是指確保軟件能夠按照開發者的預期，提供與威脅響應性的安全能力，從而維護軟件自身的安全屬性，避免存在可以被利用的安全漏洞，并且能從被入侵和失敗的狀態中恢復。軟件安全保障的目標是使軟件可以規避安全漏洞，按照預期的方式執行其功能，以增強開發者和使用者的信息。

由于信息系統所承載業務的風險很大程度上與軟件安全息息相關，軟件安全保障已經成為當前信息安全需要解決的關鍵問題。

如果要保障軟件安全，可以從軟件的安全性上進行考慮。也就是常說的CIA原則，即保密性、完整性和可用性，這幾個屬性也是軟件的核心安全屬性。對于安全性要求較高的軟件系統，在滿足軟件核心安全屬性的基礎上，抗抵賴性、可預測性及可靠性也是軟件需要考慮的重要安全屬性。