修補(bǔ)未來(lái) 軟件修補(bǔ)的新挑戰(zhàn)

到2011年2月，安全專家和Invincea的創(chuàng)始人Anup Ghosh已經(jīng)受夠了。

修補(bǔ)程序，計(jì)算機(jī)程序，項(xiàng)目軟件源代碼和支持?jǐn)?shù)據(jù)和硬件更新的數(shù)十年歷史過(guò)程必須改變。

Ghosh厭倦了他所謂的反應(yīng)，而不是主動(dòng)的修補(bǔ)方??法。他厭倦了媒體對(duì)各種軟件供應(yīng)商的計(jì)算缺陷的報(bào)道以及更新系統(tǒng)的平庸性，黑客和IT操作的普通磨損將導(dǎo)致無(wú)法操作，不安全......或兩者兼而有之。

所以當(dāng)時(shí) - 對(duì)于企業(yè)系統(tǒng)管理員社區(qū)以外的人來(lái)說(shuō)，這主要是一個(gè)小小的曇花一現(xiàn)--Ghosh選擇表達(dá)他的不滿。

“事實(shí)上，我們陷入了一種自我延續(xù)的安全瘋狂循環(huán)，我們不斷重復(fù)相同的過(guò)程 - 補(bǔ)丁/更新，檢測(cè)，修復(fù) - 結(jié)果相同，但不知何故預(yù)期會(huì)有不同的結(jié)果，”Ghosh寫道。

雖然他的斷言并不孤單，但補(bǔ)丁的現(xiàn)狀 - 管理員等待供應(yīng)商的更新，然后安裝和重新啟動(dòng) - 仍然大致相同，幾乎沒(méi)有發(fā)展的機(jī)會(huì)，至少目前如此。

但要了解Ghosh對(duì)修補(bǔ)工作的挫折感，首先必須了解這個(gè)過(guò)程已經(jīng)走了多遠(yuǎn)。

補(bǔ)?。汉竺娴墓适?/p>

作為標(biāo)準(zhǔn)的IT實(shí)踐，補(bǔ)丁開始于IBM 大型機(jī)時(shí)代，穿孔紙帶和穿孔卡在投票站看起來(lái)比在計(jì)算環(huán)境中看起來(lái)更像家。

這是在20世紀(jì)70年代和80年代初的令人興奮的日子 - 一個(gè)標(biāo)有黑色屏幕的時(shí)間，帶有大綠色字母，連字符，哈希標(biāo)簽和二進(jìn)制數(shù)字 - 當(dāng)軟件開發(fā)人員郵寄紙片或帶有新類型編寫代碼的卡片或者修補(bǔ)舊代碼以獲取更新。在20世紀(jì)80年代末和90年代初期，出現(xiàn)了為卷軸設(shè)計(jì)的磁帶。它的修補(bǔ)方式與電影膠片被剪切并用舊片段取代的方式大致相同，而舊的場(chǎng)景留在眾所周知的剪裁室地板上。

之后，有軟盤，然后是硬盤，隨后是安裝了新的和編碼更新的CD-ROM。今天，世界上沒(méi)有一個(gè)不需要補(bǔ)丁的計(jì)算機(jī)程序。

星期二補(bǔ)?。貉a(bǔ)丁發(fā)布成為一個(gè)事件

廣泛的補(bǔ)丁程序的轉(zhuǎn)折點(diǎn)源于2003年，當(dāng)時(shí)微軟推出了Patch Tuesday。就在那時(shí)，微軟的軟件工程師決定全面更新Windows 98操作系統(tǒng)環(huán)境，以便為管理員創(chuàng)建一致性并減少工作站之間的操作缺陷。

從那時(shí)起，甲骨文，蘋果，Adobe系統(tǒng)甚至谷歌已經(jīng)認(rèn)真地增加了常規(guī)補(bǔ)丁版本。

但是到了2007年，Patch Tuesday仍然是企業(yè)更新文化中的旗艦活動(dòng)，對(duì)于一些評(píng)論家來(lái)說(shuō)，僅僅是“漏洞周三”的前一天，黑客越來(lái)越多地學(xué)習(xí)如何使用補(bǔ)丁計(jì)劃來(lái)確定系統(tǒng)的點(diǎn)數(shù)。最脆弱的。

在Patch周二開始僅僅三年后，它開始出現(xiàn)，雖然黑客對(duì)系統(tǒng)補(bǔ)丁的設(shè)計(jì)，結(jié)構(gòu)和性質(zhì)越來(lái)越明智，但補(bǔ)丁本身太慢，無(wú)法在日益依賴的IT環(huán)境中發(fā)布，測(cè)試和部署處理速度。

毋庸置疑，自2004年以來(lái)，微軟已經(jīng)成為最重要的企業(yè)軟件問(wèn)題。那時(shí)候，開箱即用軟件的定期更新是有意義的，并且(大部分)效率很高。隨著其他供應(yīng)商的追隨，管理員可以選擇要修補(bǔ)的內(nèi)容以及何時(shí)進(jìn)行修補(bǔ)。但隨著計(jì)算越來(lái)越多地轉(zhuǎn)向云并變得更具移動(dòng)性，修補(bǔ)的速度和穩(wěn)健性已成為一個(gè)問(wèn)題。這提出了新的挑戰(zhàn)。

軟件修補(bǔ)的新挑戰(zhàn)

Invincea的Anup Ghosh只是IT社區(qū)中眾多需要解決補(bǔ)丁和定期更新的典型過(guò)程的人之一。

在2011年2月的一篇文章中，Ghosh勸說(shuō)必須有一種方法來(lái)領(lǐng)先修補(bǔ)過(guò)程：

“安全大師們將談?wù)摂?shù)百萬(wàn)行代碼中最新一波潛在致命缺陷對(duì)于世界上無(wú)處不在部署的軟件的影響。對(duì)于網(wǎng)絡(luò)管理者來(lái)說(shuō)，它成為一場(chǎng)關(guān)閉網(wǎng)絡(luò)曝光窗口的競(jìng)賽在網(wǎng)絡(luò)敵人利用這些漏洞之前。“

對(duì)于數(shù)百家企業(yè)，顧問(wèn)，小型IT商店以及試圖維護(hù)解析，處理和存儲(chǔ)關(guān)鍵任務(wù)信息的關(guān)鍵系統(tǒng)和程序的功能和安全性的公司來(lái)說(shuō)，補(bǔ)丁管理仍然是一項(xiàng)價(jià)值數(shù)十億美元的必然惡事。

雖然補(bǔ)丁系統(tǒng)的支持者表示有一些人只是想在非手動(dòng)補(bǔ)丁上賺錢(這是事實(shí))，但無(wú)可爭(zhēng)議的現(xiàn)實(shí)是計(jì)算機(jī)，應(yīng)用程序和自我復(fù)制軟件現(xiàn)在的更新速度超過(guò)了思維速度。

修補(bǔ)未來(lái)

就像磁帶，卡片，軟盤和CD-ROM都變得過(guò)時(shí)一樣，可下載和可安裝的補(bǔ)丁程序也是標(biāo)準(zhǔn)做法。

總部位于舊金山的nCircle安全總監(jiān)安德魯•斯托姆斯(Andrew Storms)表示，我們現(xiàn)在正進(jìn)入一個(gè)計(jì)算時(shí)代，修補(bǔ)將變得過(guò)時(shí)。Storms表示，“沒(méi)有最終用戶意識(shí)或參與”，更新將自動(dòng)發(fā)生。

他引用了實(shí)時(shí)瀏覽器的進(jìn)展，例如谷歌瀏覽器，其中更新過(guò)程正在增加自動(dòng)化，并且更新很可能完全不干預(yù)。

“像密碼一樣，補(bǔ)丁只是用戶的障礙，”Storms表示。“用戶不關(guān)心補(bǔ)丁;他們只是想做自己的工作，他們只是希望自己的東西安全可靠。”

下一個(gè)是什么?一句話：自動(dòng)化。

自動(dòng)化IT

已有非手動(dòng)補(bǔ)丁程序，例如JUpdater，StableUpdate或Visual Patch。

但關(guān)鍵的挑戰(zhàn)不是技術(shù)，而是更多關(guān)于信息技術(shù)專業(yè)人員的文化，其中許多人已經(jīng)花了整個(gè)職業(yè)生涯等待安裝補(bǔ)丁，然后監(jiān)控系統(tǒng)變化。

總而言之，鑒于補(bǔ)丁和補(bǔ)丁管理的發(fā)展，IT生態(tài)系統(tǒng)已經(jīng)適應(yīng)變化。IT專業(yè)人員最好做好準(zhǔn)備。無(wú)論他們喜不喜歡，都會(huì)發(fā)生。