首先,安全更新的首要任务应该是Web应用程序本身.绝大多数攻击都将针对您的网站和运行它的代码,这需要保持安全.如果您使用现成的Web应用程序,我甚至可以考虑自动更新,但在任何情况下,我都不会让WordPress或Drupal等安全更新在测试之前超过24小时,并且很可能推出它.

如果您的Web应用程序是自定义构建的,请确保您的开发人员始终掌握安全问题,以及您可以执行的任何程度.在这种情况下,您的组织应该使用DevOps来确保Web开发人员和IT能够很好地协同工作并及时解决问题.

在那之后,我考虑的下一个关键更新是那些“病毒式传播”并且你会听到关于国家新闻的信息,例如Heartbleed,POODLE等,以及关键路径中任何内容的更新,例如nginx和PHP Drupal和WordPress网站.我们会尽快为这些应用更新.我也在上游软件包的邮件列表上(例如我订阅了openssl-announce),以便尽快收到有关非常重要的事情的通知.

接下来,我每月对每个面向公众的服务器(Web前端,负载平衡器等)和每个支持服务器(数据库等)应用更新.这包括任何剩余的安全性和错误修复更新.在许多组织中,这是每季度全面完成的,但我认为公共网站,特别是那些从事电子商务的网站,不应该长期腐烂.在周二的微软补丁之后,我几乎总是在周末这样做,这几乎总是足以听到微软的不良更新(虽然我主要运行Linux系统,但更容易让一个周末更新所有内容).

最后,我坐下来,放松一下,看看有什么休息.尽管您尽最大努力测试更新,但最终会出现问题.观察您的监控系统.如果某些内容未被监控,请修复它,然后开始监控.准备回滚(yum历史撤消很有帮助).