Patching the Future: Nye udfordringer inden for software patching

Indhold

• Patching: The Back Story
• Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv
• Patch tirsdag: Patch frigives Bliv en begivenhed
• Den nye udfordring inden for software-patchning
• Lapper fremtiden
• Automatisering af IT

Tag væk:

Siden fremkomsten af ​​udbredte programmer, såsom Microsofts Patch Tuesday, er hastigheden af ​​programrettelser og systemer og bredden af ​​opdateringer blevet stadig mere afskrækkende for softwareudbydere.

I februar 2011 havde Anup Ghosh, en sikkerhedsekspert og grundlægger af Invincea, haft nok.

Opdatering, den årtier gamle proces, hvorpå computerprogrammer, linjeposts softwarekildekode og understøttende data og hardware blev opdateret, måtte ændres.

Ghosh var træt af det, han kaldte en reaktiv, kontra en proaktiv tilgang til plaster. Han var syg af mediedækningen af ​​computerfejlene hos forskellige softwareleverandører og banaliteten i opdatering af systemer, som hackere og den almindelige slid af IT-operationer ville gøre ubrugbare, usikre ... eller begge dele. (Se Top Must-Know Network Security Tricks for at få flere oplysninger om, hvordan du holder dit netværk sikkert).

Så det var dengang - i hvad der for det meste var en mindre blip for dem uden for virksomhedssystemadministratorernes samfund - at Ghosh valgte at fremsætte sine klager.

"Vi er faktisk fanget i en selvforvarende sikkerhedssikkerhedscyklus, hvor vi fortsat gentager de samme processer - patch / opdatering, detektering, reparation - med de samme resultater, men på en eller anden måde forventer et andet resultat," skrev Ghosh.

Mens han ikke var alene om sine påstande, forbliver status quo for programrettelse - administratorer, der venter på opdateringer fra leverandører og derefter installerer og genstarter - stort set den samme med ringe chance for at udvikle sig, i det mindste for nu.

Men for at forstå Ghoshs frustration over, hvor patchning er på vej, skal man først forstå, hvor langt processen er kommet.

Patching: The Back Story

Lapning, som standard it-praksis, begyndte i IBMs mainframe-dage med perforeret papirtape og stempelkort, der ser mere hjemme i en stemmebås end i et computermiljø.

Ingen fejl, ingen stress - Din trinvis vejledning til oprettelse af livsændrende software uden at ødelægge dit liv

Du kan ikke forbedre dine programmeringsevner, når ingen er interesseret i softwarekvalitet.

Det var i de hårde dage i 1970'erne og begyndelsen af ​​80'erne - en tid markeret med sorte skærme med store grønne bogstaver, bindestreger, hash-tags og binære numre - da softwareudviklere sendte papirstykker eller kort med ny type-skrevet kode placeret eller lappet over gammel kode til opdateringer. I slutningen af ​​1980'erne og begyndelsen af ​​1990'erne dukkede magnetbånd designet til hjul op. Den blev lappet på meget den samme måde, som filmfilm klippes ud og erstattes med gamle segmenter, mens gamle scener efterlades på det sproglige skærerumsgulv.

Senere var der disketter, derefter hårde diskette, efterfulgt af cd-rom'er med nye og kodede opdateringer, der skulle installeres. I dag er der ikke et eneste computerprogram i verden, der ikke kræver en programrettelse.

Patch tirsdag: Patch frigives Bliv en begivenhed

Vendepunktet for den udbredte patch-proces har rødder i 2003, da Microsoft introducerede Patch tirsdag. Det var dengang, at softwareingeniører hos Microsoft besluttede, at det var nødvendigt med en omfattende opdatering af Windows 98-operativsystemmiljøer for at skabe ensartethed for administratorer og reducere driftsfejl mellem arbejdsstationer.

Siden den tid har Oracle, Apple, Adobe Systems og endda Google skaffet regelmæssige patchudgivelser for alvor.

Men i 2007 var Patch Tuesday, stadig flagskibshændelsen i virksomhedsopdateringskultur, blevet for nogle kritikere blot dagen før "Udnytt onsdag", da hackere i stigende grad lærte at bruge patch-skemaet til at bestemme de punkter, hvor systemerne var mest sårbare. (Hackere er ikke altid dårlige - se 5 grunde til, at du skal være taknemlig for hackere.)

Bare tre år efter starten af ​​Patch Tuesday, begyndte det at se ud, at mens hackere blev kloge til design, struktur og karakter af systemrettelser, var patcherne i sig selv for langsomme til at blive frigivet, testet og anvendt i IT-miljøer, der i stigende grad var afhængige af på behandlingshastighed.

Naturligvis var der meget ændret siden 2004, da Microsoft var den mest populære virksomhedssoftwareproblem. Dengang gav periodiske opdateringer af out-of-the-box-software mening og var (for det meste) effektive. Med andre leverandører, der følger efter, kunne administratorer bare vælge og vælge, hvad de skal lappe, og hvornår de skal lappes. Men når computeren i stigende grad bevæger sig til skyen og bliver mere mobil, er hastigheden og lyden af ​​patchning blevet mere et problem. Dette giver en ny udfordring.

Den nye udfordring inden for software-patchning

Invinceas Anup Ghosh er kun en af ​​mange i IT-samfundet, der tager fat på programrettelser og den typiske proces med regelmæssige opdateringer.

I et indlæg fra februar 2011 antydede Ghosh, at der måtte være en måde at komme foran en lappeproces på:

"Sikkerhedsguruer vil tale med implikationerne af den seneste bølge af potentielt fatale fejl, der er tilbage i millioner af kodelinjer for verdens mest allestedsnærværende software. Mens netværksledere bliver det et løb for at lukke eksponeringsvinduet i deres netværk før cyberfjender udnytter disse huller. "

Patch management er stadig en milliard dollar, nødvendigt onde for hundreder af virksomheder, konsulenter, små it-butikker og virksomheder, der prøver at bevare funktionalitet og sikkerhed for de kritiske systemer og programmer, der analyserer, behandler og gemmer missionskritisk information.

Mens tilhængere af patch-systemer siger, at der er et par mennesker, der bare ønsker at få indbetalt ikke-manuel programrettelse (og det er sandt), er den ubestridelige virkelighed, at computere, applikationer og selvreplikerende software nu opdateres hurtigere end tankens hastighed.

Lapper fremtiden

Ligesom bånd, kort, disketter og cd-rom'er alle blev passé, så vil det være de downloadbare og installerbare patch-programmer, der længe har været standard praksis.

Vi går nu ind i en æra inden for databehandling, hvor programrettelse bliver forældet, ifølge Andrew Storms, direktør for sikkerhed i San Francisco-baserede nCircle. Storms sagde, at opdateringer i stigende grad vil ske automatisk "uden slutbruger opmærksomhed eller involvering."

Han citerer udviklingen af ​​realtids browsere, såsom Google Chrome, hvor opdateringsprocessen tilføjer automatisering, og opdateringer bliver sandsynligvis helt hands-off.

"Opdateringer, som adgangskoder, er bare en hindring for brugerne," sagde Storms. "Brugere er ligeglad med programrettelser; de vil bare gøre deres job, og de vil bare have, at deres ting skal være sikre og operationelle."

Så hvad er dernæst? Et ord: automatisering.

Automatisering af IT

Der er allerede ikke-manuelle patch-programmer, såsom JUpdater, StableUpdate eller Visual Patch.

Men den centrale udfordring handler mindre om teknologi og mere om kulturen hos fagfolk inden for informationsteknologi, hvoraf mange har brugt hele deres karrierer i vente på at installere programrettelser og derefter overvåge systemændringer.

Alt i alt er IT-økosystemet modet til forandring i betragtning af udviklingen af ​​programrettelse og programstyring. Og it-profferne havde bedre gjort sig klar. Det vil ske, uanset om de kan lide det eller ej.