修補(bǔ)未來 軟件修補(bǔ)的新挑戰(zhàn)

到2011年2月，安全專家和Invincea的創(chuàng)始人Anup Ghosh已經(jīng)受夠了。

修補(bǔ)程序，計算機(jī)程序，項目軟件源代碼和支持?jǐn)?shù)據(jù)和硬件更新的數(shù)十年歷史過程必須改變。

Ghosh厭倦了他所謂的反應(yīng)，而不是主動的修補(bǔ)方??法。他厭倦了媒體對各種軟件供應(yīng)商的計算缺陷的報道以及更新系統(tǒng)的平庸性，黑客和IT操作的普通磨損將導(dǎo)致無法操作，不安全......或兩者兼而有之。

所以當(dāng)時 - 對于企業(yè)系統(tǒng)管理員社區(qū)以外的人來說，這主要是一個小小的曇花一現(xiàn)--Ghosh選擇表達(dá)他的不滿。

“事實上，我們陷入了一種自我延續(xù)的安全瘋狂循環(huán)，我們不斷重復(fù)相同的過程 - 補(bǔ)丁/更新，檢測，修復(fù) - 結(jié)果相同，但不知何故預(yù)期會有不同的結(jié)果，”Ghosh寫道。

雖然他的斷言并不孤單，但補(bǔ)丁的現(xiàn)狀 - 管理員等待供應(yīng)商的更新，然后安裝和重新啟動 - 仍然大致相同，幾乎沒有發(fā)展的機(jī)會，至少目前如此。

但要了解Ghosh對修補(bǔ)工作的挫折感，首先必須了解這個過程已經(jīng)走了多遠(yuǎn)。

補(bǔ)丁：后面的故事

作為標(biāo)準(zhǔn)的IT實踐，補(bǔ)丁開始于IBM 大型機(jī)時代，穿孔紙帶和穿孔卡在投票站看起來比在計算環(huán)境中看起來更像家。

這是在20世紀(jì)70年代和80年代初的令人興奮的日子 - 一個標(biāo)有黑色屏幕的時間，帶有大綠色字母，連字符，哈希標(biāo)簽和二進(jìn)制數(shù)字 - 當(dāng)軟件開發(fā)人員郵寄紙片或帶有新類型編寫代碼的卡片或者修補(bǔ)舊代碼以獲取更新。在20世紀(jì)80年代末和90年代初期，出現(xiàn)了為卷軸設(shè)計的磁帶。它的修補(bǔ)方式與電影膠片被剪切并用舊片段取代的方式大致相同，而舊的場景留在眾所周知的剪裁室地板上。

之后，有軟盤，然后是硬盤，隨后是安裝了新的和編碼更新的CD-ROM。今天，世界上沒有一個不需要補(bǔ)丁的計算機(jī)程序。

星期二補(bǔ)丁：補(bǔ)丁發(fā)布成為一個事件

廣泛的補(bǔ)丁程序的轉(zhuǎn)折點源于2003年，當(dāng)時微軟推出了Patch Tuesday。就在那時，微軟的軟件工程師決定全面更新Windows 98操作系統(tǒng)環(huán)境，以便為管理員創(chuàng)建一致性并減少工作站之間的操作缺陷。

從那時起，甲骨文，蘋果，Adobe系統(tǒng)甚至谷歌已經(jīng)認(rèn)真地增加了常規(guī)補(bǔ)丁版本。

但是到了2007年，Patch Tuesday仍然是企業(yè)更新文化中的旗艦活動，對于一些評論家來說，僅僅是“漏洞周三”的前一天，黑客越來越多地學(xué)習(xí)如何使用補(bǔ)丁計劃來確定系統(tǒng)的點數(shù)。最脆弱的。

在Patch周二開始僅僅三年后，它開始出現(xiàn)，雖然黑客對系統(tǒng)補(bǔ)丁的設(shè)計，結(jié)構(gòu)和性質(zhì)越來越明智，但補(bǔ)丁本身太慢，無法在日益依賴的IT環(huán)境中發(fā)布，測試和部署處理速度。

毋庸置疑，自2004年以來，微軟已經(jīng)成為最重要的企業(yè)軟件問題。那時候，開箱即用軟件的定期更新是有意義的，并且(大部分)效率很高。隨著其他供應(yīng)商的追隨，管理員可以選擇要修補(bǔ)的內(nèi)容以及何時進(jìn)行修補(bǔ)。但隨著計算越來越多地轉(zhuǎn)向云并變得更具移動性，修補(bǔ)的速度和穩(wěn)健性已成為一個問題。這提出了新的挑戰(zhàn)。

軟件修補(bǔ)的新挑戰(zhàn)

Invincea的Anup Ghosh只是IT社區(qū)中眾多需要解決補(bǔ)丁和定期更新的典型過程的人之一。

在2011年2月的一篇文章中，Ghosh勸說必須有一種方法來領(lǐng)先修補(bǔ)過程：

“安全大師們將談?wù)摂?shù)百萬行代碼中最新一波潛在致命缺陷對于世界上無處不在部署的軟件的影響。對于網(wǎng)絡(luò)管理者來說，它成為一場關(guān)閉網(wǎng)絡(luò)曝光窗口的競賽在網(wǎng)絡(luò)敵人利用這些漏洞之前。“

對于數(shù)百家企業(yè)，顧問，小型IT商店以及試圖維護(hù)解析，處理和存儲關(guān)鍵任務(wù)信息的關(guān)鍵系統(tǒng)和程序的功能和安全性的公司來說，補(bǔ)丁管理仍然是一項價值數(shù)十億美元的必然惡事。

雖然補(bǔ)丁系統(tǒng)的支持者表示有一些人只是想在非手動補(bǔ)丁上賺錢(這是事實)，但無可爭議的現(xiàn)實是計算機(jī)，應(yīng)用程序和自我復(fù)制軟件現(xiàn)在的更新速度超過了思維速度。

修補(bǔ)未來

就像磁帶，卡片，軟盤和CD-ROM都變得過時一樣，可下載和可安裝的補(bǔ)丁程序也是標(biāo)準(zhǔn)做法。

總部位于舊金山的nCircle安全總監(jiān)安德魯•斯托姆斯(Andrew Storms)表示，我們現(xiàn)在正進(jìn)入一個計算時代，修補(bǔ)將變得過時。Storms表示，“沒有最終用戶意識或參與”，更新將自動發(fā)生。

他引用了實時瀏覽器的進(jìn)展，例如谷歌瀏覽器，其中更新過程正在增加自動化，并且更新很可能完全不干預(yù)。

“像密碼一樣，補(bǔ)丁只是用戶的障礙，”Storms表示。“用戶不關(guān)心補(bǔ)丁;他們只是想做自己的工作，他們只是希望自己的東西安全可靠。”

下一個是什么?一句話：自動化。

自動化IT

已有非手動補(bǔ)丁程序，例如JUpdater，StableUpdate或Visual Patch。

但關(guān)鍵的挑戰(zhàn)不是技術(shù)，而是更多關(guān)于信息技術(shù)專業(yè)人員的文化，其中許多人已經(jīng)花了整個職業(yè)生涯等待安裝補(bǔ)丁，然后監(jiān)控系統(tǒng)變化。

總而言之，鑒于補(bǔ)丁和補(bǔ)丁管理的發(fā)展，IT生態(tài)系統(tǒng)已經(jīng)適應(yīng)變化。IT專業(yè)人員最好做好準(zhǔn)備。無論他們喜不喜歡，都會發(fā)生。