Quando as empresas devem divulgar seus patches?

[mmachado]

Porém, não convém instalar toda hora um aqui, outro ali.. Mas acho que esperar uma semana para FICAR CIENTE dos patches lançados, e mais algumas horas, ou até dias, para instalá-los (dependendo da pessoa), pode gerar algum tipo de problema, das mais variadas naturezas.

O problema é que quase todas as últimas grandes infestações de worm na Internet ocorreram porque um patch foi lançado e, através de engenharia reversa, se descobriu onde era a falha. O Slammer foi um caso clássico.

Não pense você que o descobridor da vulnerabilidade é o principal responsável por ataques. A divulgação de patches é o principal veículo de divulgação de falhas. Por isso é importante que uma empresa consiga formalizar uma agenda de atualizações que combinem com a agenda de divulgação dos desenvolvedores.

[]s, MM

[Number One]

Imediatamente.

E todos os softwares devem estar programados para fazer o update de modo automático. Só assim eu consigo "ver" o usuário da máquina fazendo a atualização na hora devida, sem procrastinação.

Entretanto, concordo com as opiniões divergentes, que sustentam o surgimento de exploits após o lançamento das correções. Somente ressalto que a publicação do patch imediatamente após sua descoberta - e conserto - corrige também um problema sociológico e não só técnico.

NumberOne

[mmachado]

Lembra quando era possível, no Internet Explorer, colocar numa URL o usuário seguido de uma arroba antes do nome do host? Isso era usado aqui na empresa para um acesso especial a um relatório na Intranet (nada confidencial, apenas uma "facilidade" para o usuário). De um patch para o outro, isso parou de funcionar, pois a MS achou que muita gente estava usando para o mal (obfuscando URLs).

Imagine toda a empresa ficar sem acessar parte da Intranet por causa da mensagem "URL mal formada", proveniente de um update automático que não passou por um processo de homologação?

Esse caso foi até simples, mas consigo pensar em cenários fantasmagóricos...

[]s, MM

[Number One]

Não é a minha área, mas fiquei curioso.

O processo de homologação não pode ser automático? Assim como o update?

Update > Homologação > Divulgação do update. Todos os passos realizados automaticamente.

Abraços.

NumberOne

[J.Augusto]

>:-|

- Na minha humilde opinião, que seja lançado no tempo nescessário para que o mesmo tenha sido testado, que tenha ao menos 98,5% de eficácia para o qual foi escrito e compilado, e tb 98,7% de porcentagen de não criar novos problemas, não colocando remendo novo em pano velho... Onde em muitos casos "A emenda fica pior do que o soneto".

>:-|

[mmachado]

Update > Homologação > Divulgação do update. Todos os passos realizados automaticamente.

O que empresas realmente grande fazem é centralizar o serviço de update das estações em um servidor interno, e só disponibilizar as atualizações quando elas forem homologadas (o que pode ser muito tempo depois de divulgadas pelo fabricante).

Não consigo imaginar um processo de homologação automático. Alguém conhece um sistema de testes onde você possa configurar todos os parâmetros para que ele teste sozinho diversas funcionalidades em conjunto?

[]s, MM

[Campanholo]

Como alguns ja comentaram.. hoje a maioria das grandes corporações estão espertas com relação aos patches... por qúe na grande maioria só tem trazido transtorno a algumas empresas... acredito que só devem divulgar na maneira em que são testados e suficientemente aprovados, para que estes não venham causar mais trasntorno aos administradores.