Adobe系统公司（Adobe Reader和Flash Player制造商）产品安全和隐私高级主管Brad Arkin加入该公司不到两年，在这段时间里，Adobe没有遇到过零日攻击事件。不幸的是，现在该公司越来越频繁地遭受这种威胁。Arkin说，要用安全软件开发生命周期来解决这个问题。

　　本月初，Adobe公司修复了Flash中的零日漏洞。而几月前，Adobe才刚刚发布了紧急安全更新，修复其Reader和Acrobat应用程序的关键漏洞。

　　他说：“肯定有许多坏家伙靠攻击软件谋生。他们之前攻击微软，现在他们开始攻击Adobe。我们现在肯定是他们的重点攻击对象。”

　　上周，在关于保护软件安全的(ISC)2会议上，Arkin谈到了Adobe的安全挑战和该公司的安全产品生命周期（SPLC）。

　　Arkin说，Adobe产品（如阅读器）被广泛使用、功能丰富、与许多平台兼容，这使它成为罪犯的主要攻击目标。

　　Adobe的SPLC，其中包括每件产品的80-point安全计划、安全培训和工程师认证，以及基于公司培训计划的安全文化。该公司在2009年初推出四级培训方案，首先是电脑培训，但要达到第三级（“棕带”级）工程师必须创建一个项目，并用6个月的时间完成它，而第四级（ “黑带”级）则要求协调棕带级项目。

　　Arkin说Adobe在其安全软件开发生命周期中使用许多静态和动态分析工具，并且模糊测试非常有用。我们的目标是通过建立安全代码，提前找到漏洞，但审查旧代码也很重要，因为威胁总在不断变化。

　　基于云的应用安全服务提供商Veracode公司的首席执行官Matt Moynahan表示，Adobe、微软和赛门铁克所面临的挑战——还有其他广泛部署的软件供应商——是产品是在几年前发布的，即在面临现在的威胁攻击之前，所以无法预料这些威胁。而且他们还要处理多种平台和不能进行定期更新的环境。