Итак, коллеги, продолжая тему споров на профессиональные тематики хочу сегодня предложить обсудить вопрос обновления/установки патчей. Тема эта опять же не однозначная, с одной стороны все понимают, что обновлять системы необходимо, т.к. хакеры как правило ориентируются именно на непропатченные уязвимости. С другой стороны, само по себе обновление систем может создать проблемы посерьезнее, чем вредоносный код, т.к. частенько случается, что новый патч может стать причиной сбоя системы, потери работоспособности прикладного ПО, скрытых глюков, которые даже не сразу проявляются.
Итог, некоторые специалисты предпочитают либо вообще не обновлять некоторые критичные системы (по принципу "не стоит менять то, что работает"), либо делать это крайне редко.
Мое мнение - обновлять все (!) системы необходимо, но:
во-первых это необходимо делать по согласованному графику (не часто, не редко, в среднем критические уязвимости должны закрываться в течение 1-2 месяцев)
во-вторых все обновления должны быть предварительно протестированы либо на тестовых системах, либо на схожих "живых" системах, но не выполняющих критические функции (например, прежде чем обновить весь парк рабочих станций можно протестировать обновления на десятке активных пользователей, готовых мирится с возможными сбоями)
в-третьих, исключения для ряда систем возможны (например, установленное ПО вообще никак не работает с новым патчем, а разработчик обновлять ПО не собирается, т.к. эта версия уже не поддерживается), но они должны быть согласованы с руководством (включая обсуждение возможных рисков), документально закреплены и должны быть продуманы и реализованы компенсирующие меры
Я убежден, что найдутся и противоположные мнения, давайте поспорим, коллеги.
