【51CTO.com 獨家翻譯】就象時鐘一樣，微軟每個月都會定期發(fā)布安全公告，每個月都有人問我是小問題還是大問題，發(fā)展到今天微軟安全補丁已經(jīng)形成了固定的發(fā)布周期。我沒有任何特殊的內(nèi)幕消息，也不能代表微軟，我只是從公開的信息就能清楚地知道工作周期。

60天質(zhì)量保證（QA）周期

通常，微軟的補丁具有30到60天的QA周期，如果好奇，你可以手動下載補丁，看看文件的數(shù)字簽名日期便知曉了，這不是一個絕對準(zhǔn)確的日期，因為補丁的QA過程時間不一定是固定的。

使用這個方法，我計算出了2009年12月補丁QA周期平均是54天，2009年11月補丁QA周期平均是36天，2009年10月補丁QA周期平均是45天。

過山車曲線

安全團隊負(fù)責(zé)取得、測試和安裝補丁，感覺微軟發(fā)布的補丁就象過山車一樣，2010年前三個月中，我們看到在CVS和公告中的數(shù)量是大起大落，1月份有2個公告，2月份有13個公告，3月份截至本周僅有2個。

如果我們根據(jù)CVS每個月的補丁數(shù)量繪制一條曲線，發(fā)現(xiàn)一件有趣的事，微軟的補丁每隔2個月會爆發(fā)一次，圖1是從2006年1月開始，截至2010年3月的補丁趨勢圖，圖2僅顯示了過去兩年（2008和2009）的情況，曲線起伏更大。

圖 1 2006-2010年補丁數(shù)變化曲線

圖 2 2008，2009年補丁數(shù)變化曲線

經(jīng)驗

我們無法預(yù)測任何一個月的補丁細(xì)節(jié)，但安全團隊可以使用這些數(shù)據(jù)點進行規(guī)劃，我們都知道資源是有限的，但風(fēng)險和威脅在不斷增加，因此更好地利用資源從未像現(xiàn)在這樣重要。

幸運的是，微軟不但按照一定的節(jié)奏發(fā)布補丁，而且規(guī)模也是相對可預(yù)測的，自3月周二補丁日后，我們可以預(yù)計4月的補丁數(shù)量會升上去，至少會有兩位數(shù)。
如果你是負(fù)責(zé)公司補丁的資源管理經(jīng)理，了解這一切可以幫助你做好計劃，這個月你應(yīng)該可以好好休息，下個月應(yīng)該是補丁的高發(fā)期，因此你應(yīng)該提前做好計劃，安排好足夠的人手安裝和測試補丁。

作者簡介：

Andrew Storms是nCircle公司的安全運營總監(jiān)，他負(fù)責(zé)制定和實施公司的安全遵從計劃，以及監(jiān)督IT部門每天的運營情況。

原文名：The Cadence of Microsoft Security Patches  作者：Andrew Storms

【51CTO.COM 獨家翻譯，轉(zhuǎn)載請注明出處及譯者！】

【編輯推薦】

1. 2010年P(guān)wn2Own黑客大賽將開戰(zhàn) 高額獎金與0day引入入勝
2. 黑客日薪一萬二 IT企業(yè)受苦難
3. 2010年全球最酷的20家云安全廠商你知道幾家？
4. Google的云計算，你真的安全嗎？
5. 利用HTTP-only Cookie緩解跨站點腳本攻擊