青藤云安全坦言：補丁管理并不是一個新的概念，但它仍然是所有安全和運維人員最關注的話題之一，其重要性不言而喻。根據Gartner的權威報告顯示，當下99%的漏洞都是安全人員一年前就知道的漏洞，并且這些漏洞都有對應的補丁可以來修復它們。

因此，安全團隊、合規團隊和監管人員都在推動如何更快地進行補丁修復。然而，補丁管理是一項復雜的活動，在整個補丁部署過程中，必須確保應用程序和系統的穩定性。

不同平臺的補丁類型

如何將補丁迅速部署到服務器、終端PC、數據庫和應用程序等資產上，已經成為企業機構亟需解決問題。但是相比于終端補丁修復，服務器和應用程序補丁的修復要難得多。

服務器補丁管理

服務器的補丁管理工具需要提供補丁更改、安裝部署到服務器等功能。服務器管理員必須與業務線人員確保在正常業務服務不受影響的基礎上完成補丁修復工作。補丁管理工具要能夠在特定的維護窗口期間完成補丁修復，以及處理與虛擬化、基礎設施依賴關系和集群相關的問題。為了應對服務器補丁修復的復雜性，補丁管理工具必須要能夠對多個平臺(如Windows、Linux、Unix、AIX和Solaris)進行補丁修復，還要能夠對內部數據中心和公有云上的工作負載進行補丁修復。在選擇補丁修復管理工具的時候，要考慮到平臺復雜性、安全團隊人員配置、IT技能和補丁功能需求。

第三方應用程序打補丁

及時地修補第三方應用程序補丁，已成為安全和運維人員關注的焦點。有一些軟件供應商會頻繁地發布補丁，而有一些軟件供應商則很少發布補丁。有些應用程序補丁比其他應用更難安裝。由于IT資源有限，企業組織通常會在應用程序補丁修復方面落后。但是，第三方應用程序補丁工具可以為應用程序提供企業級補丁，幫助管理員節省獲取、分析和重新打包補丁的時間。

PC客戶端補丁管理

大多數企業組織使用客戶端管理工具(CMTs)來修補Windows PC漏洞。這是由于CMTs的廣泛使用和Windows PC補丁的商品化。微軟通過一個包來部署整個月的安全補丁，這簡化了補丁修復某些方面的工作。例如，管理員將不再需要確定一個補丁是否替換了另一個補丁。當然這種修復方式，也會使得企業組織在應用程序兼容性方面面臨新的挑戰。

補丁管理工具必須具備的功能

運維人員使用補丁管理工具應該能夠自動化完成目標系統的補丁部署、安裝，并且報告修復狀況，如PC、服務器、數據庫和應用程序。補丁管理工具可以是：（1）包含在客戶端和服務器生命周期管理套件中的插件；（2）增強客戶端和服務器生命周期管理套件的外掛程序；（3）獨立部署的解決方案。

PC、服務器、數據庫和應用程序有不同的補丁管理需求，當企業機構必須對多個平臺進行打補丁時，這些差異就更加復雜了。但是，所有補丁管理工具都應該提供以下功能：

（1）    資產清點：補丁管理工具必須清晰了解硬件、操作系統和軟件的資產清單狀況，才能確定是否需要打補丁，打什么樣補丁等問題。

（2）    補丁庫：補丁管理工具提供了一個存儲庫，用于存儲和管理環境中的相關補丁。大多數工具可以自動從獨立軟件供應商(ISV)下載補丁，并且大多數工具都能夠存儲從其他來源獲得的補丁。

（3）    補丁分析：補丁管理工具需要根據業務環境和公共漏洞(如CVE評級)幫助管理員確定補丁部署的優先級。此外，也有的企業組織使用漏洞評估工具來幫助確定補丁的優先級。

（4）    部署和安裝：補丁管理工具應該具有回滾功能以及重新啟動控件功能，并且能夠確保只在特定的維護窗口期間部署補丁。

（5）    報告：補丁管理工具必須能夠報告環境的當前狀態，并提供歷史報告。

補丁管理工具的核心價值是，幫助企業組織跨平臺和應用程序快速地修補易受攻擊的系統補丁。大多數企業組織會自動修補部分IT基礎設施(例如，Windows PC)，而對其他平臺和應用程序則采取臨時修補方法。例如，許多企業組織使用本地腳本，甚至在發現一個關鍵漏洞時手動安裝Linux補丁。但這很耗時，，而且常常會導致應用程序未打補丁。自動化補丁管理程序的目標之一是在特定的時間內快速地部署補丁。當然不同平臺、系統，補丁修復時間也是有所不同。

需要注意的是，從安全的角度來看，補丁修復的速度應該基于漏洞和威脅狀況。Unix和Linux環境兼容性問題更復雜，通常有需要更長補丁修復時間。

自動化補丁管理工具選型指南