【IT168】2006年，卡内基?梅隆大学软件工程学会的计算机紧急响应小组（CERT）报道了需要软件补丁的应用程序漏洞超过8000个——这个数字比2005年增加了30%还多。尽管多年来我们在这个方面下了很大力气，但补丁问题仍在引起许多人的忧虑。我们经常看到许多公司在补丁程序发布了一个多月后，还没有打上补丁，因而给病毒和安全破坏留下了可趁之机。为什么面临这种风险呢？这是因为许多IT部门缺少有效打上补丁的工具、流程和资源。

    至少有14家厂商在期望改善这种形势。每个产品各有其强项和弱项，本文希望作一简单评述。

    理想情况下，补丁管理只是大公司内部全面的配置管理或者软件分发系统当中的一个组件。小公司也可以使用独立工具，但许多公司需要几种功能单一的单点产品，满足给不同类型的应用程序和设备打补丁的需要。但无论你如何管理，自动化极其重要，变更记录、确保补丁不干扰其他应用程序的测试以及避免堵塞网络的部署策略也极其重要。

    微软的做法

    虽然自从有了计算机，就需要给应用程序打补丁，但大量出现的Windows更新程序以及微软在市场上的主导地位使人们对补丁问题引起了注意。自推出Windows 98以来，微软就致力于能够自动给Windows服务器和桌面机打补丁。最新版本的更新程序：Windows服务器更新服务（WSUS）提供了本地管理的软件更新服务，这是除本地微软更新系统之外的一种选择。IT人员使用WSUS，就可以从中心服务器，自动分发补丁和更新程序给客户机。

    最新版本的更新程序扩大了它能更新的软件的范围，它与使用微软的Windows更新网站相比是一大进步。因为单台计算机不必连接到外部服务器，所以可以节省带宽、时间和磁盘空间。在Windows Server 2008中，应用程序本身带有这项功能。WSUS则可以从微软网站免费下载。

    免费确实不错，但大多数公司的环境使用的不仅仅是微软的桌面机和服务器。微软的免费工具也提供不了大公司所需要的那种灵活性或者扩展性。

    补丁管理工具通常都包含在软件分发、供应及配置管理套件中——这些套件尽管开始时相对昂贵，但能根据需要进行扩展。购买这种工具是否值得，这取决于你需要部署哪种类型的补丁。如果你负责给服务器、桌面机以及其他网络设备打补丁，购买能够处理所有这些设备的工具也许是值得的，比如惠普公司的Opsware。如果你只关注给桌面机打补丁，不妨考虑使用功能较单一的工具，比如冠群公司的补丁管理（Patch Management）产品。而如果你需要给服务器打补丁，那还得看情况：单单运行Windows？还是同时运行Unix、Linux或者虚拟系统？

    自动化极其重要。手工打补丁这项工作需要大量的人力。要列一份详细的清单，列出补丁流程的每一个步骤，包括收集补丁信息、确定严重性和优先级、进行详细测试以便发现补丁会不会影响其他系统，以及确定哪些端点设备需要更新。你要问清楚考虑购买的某款软件能否实现所有这些步骤的自动化。

    因为与补丁管理密切相关，所以变更控制也很重要。你每过多久打补丁、何时打补丁？谁可以部署以及/或者授权更新？如何测试补丁？哪些情况下需要恢复原状（rollback）？你在考虑选购补丁软件时，知道自己目前管理着多少设备、在可预见的将来会有多少设备也很重要。市面上有不同软件，有的可以管理50到100个设备，有的最多可以管理成百上千个设备。大公司在考虑与配置有关的产品（如软件分发或者配置管理数据库）时，应当确保产品含有可靠成熟的补丁管理功能。如果你有资产清查系统，就要检查是否集成了补丁管理功能，否则最后你不得不完成发现资产的工作。

    考虑到不管你愿不愿都要打补丁可能会给用户和网络带来负面影响，因而需要了解补丁产品如何发挥作用，以及如何处理打补丁时未连接到网络上的设备。它能实现多播分发、高级压缩、检查和重启等功能吗？要是通信链路出现了故障，终端设备是一台未联网的笔记本电脑，或者由于某种原因未能成功打上补丁，该软件会如何处理？理想情况下，软件会有一套办法来试图再次打补丁；如果屡屡失败，就会发出通知和报警。

    报告功能也很重要。需要确保产品能支持通知和审计功能。在受到《萨班斯－奥克斯利法案》监管的许多上市公司，这是一项严格要求；稍有疏忽就会招致巨额罚款。