她是假设该补丁来自厂商，并没有篡改过境，而不是从一个攻击者试图诱使她进入安装一个假的修补程序，将实际开放的一个安全漏洞。

她是假定该厂商测试补丁彻底。 厂商往往面临相当大的压力，以问题的补丁很快，有时甚至加以检验，只是针对某一特定的攻击。 该漏洞可能会更深一些，但是，和其他的攻击可能会成功。 当有人发表了剥削的一个供应商的操作系统代码，厂商发布了一个修补程序纠正在24小时以上。 不幸的是，该修补程序，开辟了第二洞，其中一个是容易得多，加以利用。 下次补丁（发布48小时之后）固定这两个问题，正确的。

她是假设厂商的测试环境，对应于她的环境。 否则，修补程式可能无法如预期般。 作为一个例子，在一个供应商的修补程序，一旦复位所有制的可执行文件，以用户的治本方法。 在一些设施，维修程序要求这些可执行文件属于用户斌。 卖方的修补程序已被泼水，并固定为本地配置。 这个假设，也包括可能发生的冲突之间不同的补丁，以及补丁，是相互矛盾的（如斑块来自不同厂商的软件，该系统是用） 。

她是假设该补丁正确安装。 一些补丁安装简单，因为他们纯粹是可执行文件。 其他人都是复杂的，需要系统管理员重新配置网络化的特性，添加一个用户，修改的内容，登记，权利，让一些一套用户，然后重启系统。 误差在任何这些步骤可以防止修补程序来纠正问题，可以作为一个不协调的环境中，这个补丁文件是发达国家和其中的补丁适用。 此外，该补丁可能声称，规定具体的特权时，在现实中的特权是不必要的，并在事实上危险

正规验证s是correctthat是，证明没有错误。 因为形式化验证依赖于自动定理provers以及人力分析，该定理provers必须编程正确。

假设在形式化验证的都是正确的;具体来说，前提就是持有在环境中，该计划是要被处决。 这些前提通常是传送至该定理provers以及该计划第一个隐含方面的假设是，该版本的o在环境中，该计划是要被处死的是一样的版本邻用来验证第

该计划将被改造成一个可执行的，他们的行动对应于那些显示出来的源代码;在换句话说，编译器，连接器，装载机，以及任何图书馆是正确的。 实验一版本的操作系统演示了如何毁灭性操纵编译器可以，攻击者已经取代图书馆与其他演出附加功能，从而增加了安全风险。

硬件将执行这一计划的意图。 这个纲领依赖于浮点计算，将产生不正确结果，对一些电脑中央处理器芯片，无论任何形式验证的程序，因为有瑕疵，这些筹码。 同样地，如果一个节目是靠投入，从硬体假设的具体条件，这些事业的投入