delphij's Chaos

选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……

27 Apr 2012

为什么安全更新通常在周三发表

目前多数软件产品的安全更新都是在周二或者周三公布了。这种做法 据说 是微软开始采用的,不过具体是谁先开始这么做,目前我还没有找到非常可靠的资料。

一般来说,软件开发者在发布安全更新之前,需要做下面这些事情:

  • 确认问题存在,即,修正的确实是一个有安全影响的问题;
  • 申请一个 CVE 编号;
  • 找到修正问题的最小变动—-有时,新版的软件由于代码重构等原因已经不再包含同样的漏洞,但是将重构向回移植可能会引入新的问题,或是导致接口不再兼容,因此有时需要实现另外的修正;
  • 测试修正确实改正了问题;
  • 测试兼容性;
  • 发表;

而在用户这边,通常也需要进行少量的测试才可以大面积部署。由于时差的原因,周一或周五发表安全更新有可能会导致有些人必须在周末工作,因此不合适;周三发表安全公告会给 IT 人员留下充足的测试和部署时间,同时又避开了周末。