web-dev-qa-db-fra.com

À quelle fréquence les correctifs de sécurité brisent-ils les applications métier?

Y a-t-il des statistiques sur la manière dont les correctifs de sécurité fiables sont? Comme la fraction rappelée ou corrigée?


Une partie de la conservation d'un ordinateur sécurisé est d'appliquer des correctifs de sécurité. La période entre un patch étant disponible et l'installation du patch a un risque accru de compromis, car les pirates informatiques ont été appuyées sur une vulnérabilité. Si votre seule préoccupation est la sécurité, vous devez donc installer tous les correctifs de sécurité et les installer dès que possible.

Pourtant, je connais du professionnel (dans le sens où ils sont payés pour faire le travail) Les administrateurs système qui n'installent pas de correctifs de sécurité, car ils sont préciés, ils craignent que l'installation des patchs "briserait" leur système d'une manière ou d'une autre.

Il est facile de les déchiffrer comme stupide. Mais une analyse plus nuancée note que leur travail est non simplement pour garder un système informatique sécurisé. Le système a une tâche commerciale à faire et une infraction à la sécurité n'est que l'une des échecs dont ils doivent s'inquiéter. Une approche rationnelle prend en compte le coût de chaque mode d'échec, le coût des protections contre l'échec et sa probabilité d'exister. Ne pas installer des correctifs peut être une décision rationnelle, au moins théoriquement, dans certaines circonstances. Plus raisonnablement, retarder l'installation d'un patch en attendant de voir si cela pose des problèmes pourrait être rationnel dans plus de circonstances.

Toutefois, pour que ces décisions soient rationnelles, la probabilité qu'un patch de sécurité, une application d'entreprise doit être connue et modérément élevée. Sinon, la raison donnée est plus une excuse pour la paresse.

Dans quelle mesure est probablement un correctif de sécurité pour un composant système d'exploitation ou un cadre (tel qu'un serveur Web) pour casser une application commerciale exécutée sur cette plate-forme. Y a-t-il des statistiques sur la manière dont un patch est susceptible de casser quelque chose?

Maintenant, personne n'est vraiment un calcul mathématique du gain attendu, mais agit plutôt sur certaines intuitions sur le risque relatif. Je soupçonne que les administrateurs système ont une intuition imparfaite sur la probabilité d'un patch brisant leur système. En tant que programmeur d'applications professionnelles, j'ai du mal à croire un correctif à une composante système d'exploitation ou à un cadre raisonnablement testé par le fournisseur pourrait casser la demande, à moins que la demande n'ait été mal écrite et criblée avec des erreurs qui ont posé d'autres risques commerciaux en tous cas. Mais comment pouvons-nous corriger de telles intuitions défectueuses sans une sorte de statistiques sur des correctifs défectueux? Comme la fraction des patchs rappelées ou corrigées?

7
Raedwald

Une approche plus rationnelle prise dans les mêmes endroits est de ne pas éviter les mises à jour, mais plutôt de retarder et de tester avant de postuler. Les grandes organisations telles que Microsoft, Apple et Mozilla ont publié de mauvaises mises à jour dans les périphériques de rendu ou le logiciel de rendu passé, inutilisables ou inutilisables derrière un proxy/pare-feu, etc. Cela peut être un bon risque calculé pour retarder une mise à jour pour voir si Il y a des problèmes qui apparaissent peu après sa publication, puis d'appliquer la mise à jour de quelques systèmes non critiques pour vérifier les problèmes dans l'environnement local, avant un dépliant plus large.

1
Ben