«Заплаты», которыми мы управляем

В 2006 г. сотрудники Института разработок ПО университета Карнеги–Меллона в рамках программы CERT сообщили об обнаружении свыше 8 тыс. уязвимых мест в приложениях, что на 30% больше, чем в 2005 г. Несмотря на то что ИТ-сообщество потратило множество лет на попытки окончательно решить проблему злонамеренного вмешательства в корпоративную информационную систему, необходимость установки программных «заплат» по-прежнему остается головной болью системных администраторов. Мы часто сталкиваемся с организациями, которые отстают с установкой заплат в приложения более чем на месяц и соответственно остаются беззащитными перед вирусами и преднамеренными нарушениями информационной безопасности. Почему же люди рискуют? Дело в том, что многим ИТ-службам не хватает средств, процедур и ресурсов для эффективной корректировки ПО.

На рынке систем управления программными заплатами сегодня работают не менее 14 поставщиков. Каждый из предлагаемых ими продуктов имеет свои плюсы и минусы, и мы в ближайшем будущем надеемся их протестировать.

Если речь идет о крупных организациях, то управление корректировками в идеале должно быть просто одним из элементов более общей задачи управления конфигурациями или системы распространения ПО. Более мелкие компании могут пользоваться для этого автономными средствами. Но следует иметь в виду, что для работы с приложениями или устройствами разных типов потребуется несколько продуктов, ориентированных на решение разных задач. Однако в любом случае критически важными являются автоматизация соответствующей деятельности, документирование вносимых изменений, проверка их в отношении влияния на работу других приложений, а также наличие политики развертывания, обеспечивающей бесперебойную работу корпоративной сети.