修补未来 软件修补的新挑战

到2011年2月，安全专家和Invincea的创始人Anup Ghosh已经受够了。

修补程序，计算机程序，项目软件源代码和支持数据和硬件更新的数十年历史过程必须改变。

Ghosh厌倦了他所谓的反应，而不是主动的修补方​​法。他厌倦了媒体对各种软件供应商的计算缺陷的报道以及更新系统的平庸性，黑客和IT操作的普通磨损将导致无法操作，不安全......或两者兼而有之。

所以当时 - 对于企业系统管理员社区以外的人来说，这主要是一个小小的昙花一现--Ghosh选择表达他的不满。

“事实上，我们陷入了一种自我延续的安全疯狂循环，我们不断重复相同的过程 - 补丁/更新，检测，修复 - 结果相同，但不知何故预期会有不同的结果，”Ghosh写道。

虽然他的断言并不孤单，但补丁的现状 - 管理员等待供应商的更新，然后安装和重新启动 - 仍然大致相同，几乎没有发展的机会，至少目前如此。

但要了解Ghosh对修补工作的挫折感，首先必须了解这个过程已经走了多远。

补丁：后面的故事

作为标准的IT实践，补丁开始于IBM 大型机时代，穿孔纸带和穿孔卡在投票站看起来比在计算环境中看起来更像家。

这是在20世纪70年代和80年代初的令人兴奋的日子 - 一个标有黑色屏幕的时间，带有大绿色字母，连字符，哈希标签和二进制数字 - 当软件开发人员邮寄纸片或带有新类型编写代码的卡片或者修补旧代码以获取更新。在20世纪80年代末和90年代初期，出现了为卷轴设计的磁带。它的修补方式与电影胶片被剪切并用旧片段取代的方式大致相同，而旧的场景留在众所周知的剪裁室地板上。

之后，有软盘，然后是硬盘，随后是安装了新的和编码更新的CD-ROM。今天，世界上没有一个不需要补丁的计算机程序。

星期二补丁：补丁发布成为一个事件

广泛的补丁程序的转折点源于2003年，当时微软推出了Patch Tuesday。就在那时，微软的软件工程师决定全面更新Windows 98操作系统环境，以便为管理员创建一致性并减少工作站之间的操作缺陷。

从那时起，甲骨文，苹果，Adobe系统甚至谷歌已经认真地增加了常规补丁版本。

但是到了2007年，Patch Tuesday仍然是企业更新文化中的旗舰活动，对于一些评论家来说，仅仅是“漏洞周三”的前一天，黑客越来越多地学习如何使用补丁计划来确定系统的点数。最脆弱的。

在Patch周二开始仅仅三年后，它开始出现，虽然黑客对系统补丁的设计，结构和性质越来越明智，但补丁本身太慢，无法在日益依赖的IT环境中发布，测试和部署处理速度。

毋庸置疑，自2004年以来，微软已经成为最重要的企业软件问题。那时候，开箱即用软件的定期更新是有意义的，并且(大部分)效率很高。随着其他供应商的追随，管理员可以选择要修补的内容以及何时进行修补。但随着计算越来越多地转向云并变得更具移动性，修补的速度和稳健性已成为一个问题。这提出了新的挑战。

软件修补的新挑战

Invincea的Anup Ghosh只是IT社区中众多需要解决补丁和定期更新的典型过程的人之一。

在2011年2月的一篇文章中，Ghosh劝说必须有一种方法来领先修补过程：

“安全大师们将谈论数百万行代码中最新一波潜在致命缺陷对于世界上无处不在部署的软件的影响。对于网络管理者来说，它成为一场关闭网络曝光窗口的竞赛在网络敌人利用这些漏洞之前。“

对于数百家企业，顾问，小型IT商店以及试图维护解析，处理和存储关键任务信息的关键系统和程序的功能和安全性的公司来说，补丁管理仍然是一项价值数十亿美元的必然恶事。

虽然补丁系统的支持者表示有一些人只是想在非手动补丁上赚钱(这是事实)，但无可争议的现实是计算机，应用程序和自我复制软件现在的更新速度超过了思维速度。

修补未来

就像磁带，卡片，软盘和CD-ROM都变得过时一样，可下载和可安装的补丁程序也是标准做法。

总部位于旧金山的nCircle安全总监安德鲁•斯托姆斯(Andrew Storms)表示，我们现在正进入一个计算时代，修补将变得过时。Storms表示，“没有最终用户意识或参与”，更新将自动发生。

他引用了实时浏览器的进展，例如谷歌浏览器，其中更新过程正在增加自动化，并且更新很可能完全不干预。

“像密码一样，补丁只是用户的障碍，”Storms表示。“用户不关心补丁;他们只是想做自己的工作，他们只是希望自己的东西安全可靠。”

下一个是什么?一句话：自动化。

自动化IT

已有非手动补丁程序，例如JUpdater，StableUpdate或Visual Patch。

但关键的挑战不是技术，而是更多关于信息技术专业人员的文化，其中许多人已经花了整个职业生涯等待安装补丁，然后监控系统变化。

总而言之，鉴于补丁和补丁管理的发展，IT生态系统已经适应变化。IT专业人员最好做好准备。无论他们喜不喜欢，都会发生。