目前多数软件产品的安全更新都是在周二或者周三公布了。这种做法 据说 是微软开始采用的，不过具体是谁先开始这么做，目前我还没有找到非常可靠的资料。

一般来说，软件开发者在发布安全更新之前，需要做下面这些事情：

• 确认问题存在，即，修正的确实是一个有安全影响的问题；
• 申请一个 CVE 编号；
• 找到修正问题的最小变动—-有时，新版的软件由于代码重构等原因已经不再包含同样的漏洞，但是将重构向回移植可能会引入新的问题，或是导致接口不再兼容，因此有时需要实现另外的修正；
• 测试修正确实改正了问题；
• 测试兼容性；
• 发表；

而在用户这边，通常也需要进行少量的测试才可以大面积部署。由于时差的原因，周一或周五发表安全更新有可能会导致有些人必须在周末工作，因此不合适；周三发表安全公告会给 IT 人员留下充足的测试和部署时间，同时又避开了周末。