Maar daar zit ook een balans in. Soms heb ik de indruk dat bij de gemiddelde Tweaker het idee heerst dat patches bij bedrijven soms lang duren om door te voeren omdat de beheerders lui/incompetent zijn.
In de praktijk is de wereld een stuk complexer. Ja, je hebt luie en incompetente beheerders, maar ook zeer pro-actieve en competente beheerders kunnen niet altijd zomaar een patch doorvoeren.
Om te beginnen heb je een SLA. Wanneer jij voor elk wissewasje gaat patchen kan dat onacceptable onbeschikbaarheid betekenen. Belangrijk natuurlijk om in SLA's ook je patchbeleid op te nemen, maar als dat niet goed afgedekt is, dan moet je als beheerder balans vinden tussen veiligheid en het nakomen van je SLA. In het geval van een bug als Heartbleed is het duidelijk, in een geval als Shellshock of Poodle veel minder.
Daarnaast en veel belangrijker is de complexiteit van omgevingen. Een patch kan zomaar gevolgen hebben voor andere, bedrijfskritische, software. Soms draai je een oude versie van een library of stuk software, omdat een nieuwere versie niet compatible is met jouw applicaties.
Als er dan in de oude versie een security issue wordt ontdekt, dan kun je niet direct patchen. De gevolgen van de patch zijn dan vervelend. In dit geval: de garantie dat je software niet werkt, vs. de mogelijke kans dat je via deze hoek geDDoS'd wordt.
Dat ontwikkelaars jouw applicatie dan maar zo snel mogelijk moeten bijwerken is ook weer nogal idyllisch gedacht. Die applicatie-ontwikkelaars hebben misschien een stuk contract-werk geleverd. Dan moet je budget vinden en de nieuwe ontwikkelaars moeten zich de code eigen maken. Of misschien is het extreem complexe software (niet voor niets had je het probleem nog niet eerder opgelost). Of misschien is de leverancier van de software al failliet.
Risico van de sector allemaal, maar om maar aan te geven dat de 'happy flow' van 'bug ontdekt' -> 'fix gemaakt' -> 'geinstalleerd' op een hele hoop punten spaak kan lopen, zelfs al is er goede wil en inzet van ontwikkelaars, beheerders en management.
[Reactie gewijzigd door Keypunchie op 23 juli 2024 06:29]