为什么安全更新通常在周三发表
目前多数软件产品的安全更新都是在周二或者周三公布了。这种做法 据说 是微软开始采用的,不过具体是谁先开始这么做,目前我还没有找到非常可靠的资料。
一般来说,软件开发者在发布安全更新之前,需要做下面这些事情:
- 确认问题存在,即,修正的确实是一个有安全影响的问题;
- 申请一个 CVE 编号;
- 找到修正问题的最小变动—-有时,新版的软件由于代码重构等原因已经不再包含同样的漏洞,但是将重构向回移植可能会引入新的问题,或是导致接口不再兼容,因此有时需要实现另外的修正;
- 测试修正确实改正了问题;
- 测试兼容性;
- 发表;
而在用户这边,通常也需要进行少量的测试才可以大面积部署。由于时差的原因,周一或周五发表安全更新有可能会导致有些人必须在周末工作,因此不合适;周三发表安全公告会给 IT 人员留下充足的测试和部署时间,同时又避开了周末。