軟件安全保障的目標(biāo)是在軟件開發(fā)生命周期中提升軟件的安全性，主要目的包括：

1)可信賴性：無論是惡意而為還是無意疏忽，軟件都沒有可利用的漏洞存在

2)可預(yù)見性：對軟件執(zhí)行時其功能符合開發(fā)者的意圖的信心

3)遵循性：將（軟件開發(fā)）跨學(xué)科的活動計劃并系統(tǒng)化，以確保軟件過程和軟件產(chǎn)品滿足需求、遵循相關(guān)標(biāo)準(zhǔn)。

在軟件安全保障中，需要貫徹風(fēng)險管理的思想。由于軟件自身存在著漏洞，而客觀上又存在外部威脅，而且一旦條件滿足，則勢必造成安全問題，對軟件的執(zhí)行后果造成影響。 軟件用戶需要樹立對軟件安全控制的信心，該信心是通過保障活動來獲取的。安全保障的作用不是直接使軟件系統(tǒng)增加抗拒安全威脅的能力，而是試圖證明軟件系統(tǒng)已滿足了其安全目標(biāo)，使用戶對降低預(yù)期的風(fēng)險抱有信心，這種信心來源于對安全控制正確性和充分性的評估。如果控制風(fēng)險的安全控制是正確的和足夠充分的，那么軟件系統(tǒng)完成預(yù)定任務(wù)時可能面臨的風(fēng)險就會是用戶可接受的，用戶就會對軟件有信心現(xiàn)代系統(tǒng)的設(shè)計人員必須事先考慮安全問題。對于軟件就更是如此i因為糟糕的軟件是絕大部分計算機安全問題的根本原因。軟件的缺點可分為兩種類型：設(shè)計級瑕疵和實現(xiàn)缺陷。要解決這兩種缺點，我們就必須構(gòu)建更好的軟件和從頭開始設(shè)計更安全的系統(tǒng)。

在安全領(lǐng)域不斷發(fā)展過程中，安全從業(yè)人員逐漸認識到必須進行艱苦的工作才臼旨實現(xiàn)軟件安全的目標(biāo)。預(yù)防問題比修改問題更加節(jié)約成本的觀念支持了這樣的觀點：提前投資是合理的。預(yù)防技術(shù)和確保使用最優(yōu)方法將最終成為唯一可行的方法。所以微軟的可信計算SDL 模型以及類似的模型的出現(xiàn)就成為必然。