Мы все привыкли к тому, что используемые нами программы приходится обновлять. Иногда для того, чтобы получить новые функции, а иногда просто из соображений безопасности, поскольку уязвимости в программах всегда были, есть и будут. Сегодня поговорим о так называемых вторниках обновлений.
Для начала уясним, что сложные программы обычно чаще содержат уязвимости, нежели простые. Пальму первенства здесь можно отдать операционным системам, которые представляют собой даже не отдельную программу, а совокупность программ, систем и подсистем. Современные операционные системы — плод труда больших коллективов разработчиков. Кроме того, у операционных систем долгая история разработки и совершенствования.
Но не только операционные системы подвержены уязвимостям. Самые различные программы могут использоваться злоумышленниками для того, чтобы получить доступ к данным пользователей. Регулярно выходят патчи для браузеров, офисных пакетов, плееров и многих других программ. Да что там говорить, даже в архиваторах находят уязвимости.
Казалось бы, для разработчиков всё просто: выявил уязвимость (или помогли выявить) — написал патч, протестировал, выложил в общий доступ. В целом, так и происходит, но отдельно поговорим про график.
По уровню опасности уязвимость уязвимости рознь. Бывает так, что тревогу надо бить здесь и сейчас. Это относится к тем уязвимостям, которые легко эксплуатировать (особенно, если уже появились факты их эксплуатации). А бывает и так, что теоретически использование уязвимости возможно, но фактически это требует значительных усилий или совпадения целого ряда факторов. И здесь нужно поднять тему графика выпуска патчей.
Но сперва нужно уяснить, что график выпуска патчей тесно увязан с механизмом распространения этих самых патчей. Объясню: если новые версии ПО не распространяются автоматически, то разработчики будут стремиться к оперативному выпуску свежих версий. Если же имеется автоматизированная система доставки обновлений, то свежие версии могут привязывать к некому графику (если речь не идёт об исключительных случаях).
Очень хорошим примером здесь является Windows. Как известно, данная операционная система получает обновления автоматически с серверов Microsoft или с развёрнутых в локальных сетях серверов WSUS (Windows Server Update Services). Роль серверов обновлений иногда может выполнять и стороннее ПО (например, Kaspersky Security Center).
Для рядового пользователя нет особой разницы когда получать обновления. А вот для системного администратора каждодневная установка обновлений на рабочие станции в локальной сети может доставить изрядную головную боль. Согласитесь, удобнее поставить 30 обновлений в один день, чем по одному обновлению ежедневно на протяжении месяца.
Так мы приходим к тому, что вопрос удобства развёртывания обновлений встаёт в противоречие с вопросом оперативности развёртывания тех же самых обновлений. На практике всё обычно сводится к компромиссу в зависимости от критичности той или иной уязвимости.
Вторник обновлений это и есть такой компромисс. Традиционно крупные корпорации в области IT выпускают патчи для своих продуктов во второй вторник каждого месяца. Для российских пользователей из-за разницы в часовых поясах речь может идти уже о второй среде каждого месяца. На вторник обновлений откладывают те патчи, распространение которых не выглядит срочным. А вот для критических уязвимостей патчи могут выйти в любой день. Более того, каждая компания сама определяет, придерживаться ли ей логики вторников обновлений или нет. Из тех, кто точно вторниками обновлений пользуется, в голову сразу приходят Microsoft и Adobe.
Пожалуй, это всё, что нужно знать про вторники обновлений. Не забывайте про них, если Вы устанавливаете обновления вручную. 🙂
Статьи по теме: