尽管如此，即便美国政府需要被指责的地方没有Smith说的那么多，与这些安全灾难将近20年的缠斗表明这里存在着一个系统性的失败，我认为这得回过头来追究商业模式的责任。除了各种技术和战略层面的因素以外，软件的致命缺陷在于，在这个行业的前几十年时间里，软件是按照预设价格出售的，不管是软件包还是授权的模式均是这样。

　　这就导致了各方有问题的动机以及糟糕的决策：

微软被迫支持多套不同的代码库，这个代价非常高昂而且困难，与任何财务激励都没有关系（因此，比方说，才会有了终止对Windows XP的支持）

第三方供应商坚持把特定版本的操作系统视为固定不变的对象：毕竟，Windows 7不同于Windows XP，而这意味着指定只能支持XP是可能的。此外，鉴于第三方供应商并没有升级自身软件的财务刺激（毕竟钱已经拿到手了），他们的这种做法只会变本加厉。

最成问题的影响在买家身上：计算机和相关软件被视为资本成本，也就是一次性付钱然后随时间来折旧摊销掉作为购买价值的实现。按照这种观点，持续支持和安全是独立于现有价值的额外成本；为此付钱的唯一理由是避免将来受到攻击，但发生的时间窗口和潜在的经济伤害是不可能预测的。

　　真相是软件以及安全永远都是未竟的事业。这样一来一次性付费就没有意义了。

　　SaaS作为拯救者

　　4年前我写过为什么订阅制对于开发者和最终用户来说都要更好，j2直播，其背景是Adobe从软件套件模式的转移：

　　那篇文章说的是将Adobe的收入与用户获得的价值进行更好的匹配所带来的好处：服务的价格变低了，但随着时间的转移Adobe从中析取的价值与交付给用户的价值却更加一致。还有，正如我指出那样，“Adobe有很好的动机去维护应用，因为这样可以减少客户流失率，而用户则永远都能得到最新版本。”

　　这正是好的安全之必须：供应商需要保持自身应用（微软的情况就是操作系统）更新，而最终用户需要一直使用最新版本。此外，把软件当作服务来定价意味着它不再是资本成本，也就没有了随之而来的一次性付费假设：相反，这是一项包括维护在内的经常性支出，不管是由供应商还是最终用户来出（或者可能双方都要出）。

　　软件即服务，以及这一类服务的涌现，加上更宽泛的云计算，我当然认为这些是我们可以乐观的唯一最大的理由，WannaCry只是一个糟糕商业模式的苟延残喘（尽管消化掉所有的沉没成本并且所有资产全部摊销完毕可能还需要很长一段时间）。从长期来看，一般的企业或者政府在本地跑任何软件，或者在任何设备上存储任何文件都是没有什么理由的。一切都应该放到云端，不管是文件还是app，然后通过持续更新的浏览器来访问，按照订购制付费。这样一来激励机制就都归位了：用户同时为安全和实用性付费，而供应商也有动机去赚取。

　　就围绕而言，这家公司很长一段时间以来都在朝着这个方向演进：这家公司不仅把增长聚焦于Azure和Office 365上面，而且甚至其传统软件也一直是通过订阅式的产品来货币化的。尽管如此，这种以云为中心的模式对用户的锁定还是弱很多的，而在设备和服务的灵活性方面则要高得多：事实上，对于微软来说，尽管Windows安全问题实在令人头痛，但这些问题不可避免地要跟微软成为有史以来最赚钱的公司之一绑定在一起。

　　剩下的一大挑战将是硬件：软件使能设备的商业模式可能仍将是预付制，这意味着做安全是没有激励的；其代价将输出给像Mirai这样的僵尸网络的目标来承担。这方面预计不会有什么进展，会归咎到多方，这正是这类错配的商业模式导致的系统性崩盘的特点。