(2)可擴(kuò)展性

第二個(gè)對(duì)軟件安全有負(fù)面影響的因素是系統(tǒng)的可擴(kuò)展程度。一個(gè)可擴(kuò)展的系統(tǒng)通過接受更新或者擴(kuò)展件（有時(shí)也稱為移動(dòng)代碼，mobile code）可以使系統(tǒng)的功能升級(jí)到一種增強(qiáng)的模式。例如，由于Weh瀏覽器具有插件式體系結(jié)構(gòu)，因此很容易根據(jù)需要來(lái)安裝讀取新的文件類型所需的閱讀程序。現(xiàn)在的操作系統(tǒng)通過動(dòng)態(tài)裝載的設(shè)備驅(qū)動(dòng)程序和模塊來(lái)支持可擴(kuò)展性。如今的應(yīng)用程序，比如字處理器、電子郵件客戶端程序、電子表格程序，以及Weh瀏覽器，都通過腳本、控件、組件和小程序來(lái)支持可擴(kuò)展性。Web服務(wù)和SOA完全是基于J2EE 和.NET這樣的可擴(kuò)展系統(tǒng)而建造的，它們的出現(xiàn)明確地將可擴(kuò)展性提升到了一個(gè)重要的位置。

從經(jīng)濟(jì)的觀點(diǎn)來(lái)看，可擴(kuò)展的系統(tǒng)很有吸引力，因?yàn)樗鼈兲峁┝遂`活的接口，禽甚夠通過新的組件來(lái)適應(yīng)新的需求。在現(xiàn)代市場(chǎng)中，為了獲取市場(chǎng)份額，盡可能快地配置軟件是非常重要的。然而，市場(chǎng)也要求應(yīng)用程序的每一個(gè)版本都提供新功能。通過先交付基本的應(yīng)用程序代碼、隨后再根據(jù)需要來(lái)交付特性擴(kuò)展的方式，可擴(kuò)展的體系結(jié)構(gòu)很容易滿足這兩種要求。

令人遺憾的是，正是可擴(kuò)展系統(tǒng)的這種本質(zhì)屬性，使它很難阻止軟件漏洞通過以外安裝擴(kuò)展件進(jìn)入系統(tǒng)。高級(jí)語(yǔ)言和平臺(tái)，包括SuII Microsystems的Java7fIIMicrosoft的.NET Framework，都把可擴(kuò)展性作為一種普通特性。