miércoles, 15 de septiembre de 2010

SAP se apunta al carro de las actualizaciones programadas

SAP anuncia que se apunta al carro de las actualizaciones de seguridad programadas. A partir de ahora, las publicará el segundo martes de cada mes. Como Microsoft, Oracle, Adobe y Cisco.

SAP anuncia que sus parches de seguridad aparecerán a partir de ahora los segundos martes de cada mes. Por si la vida de los administradores no fuese ya suficientemente complicada con los parches de Microsoft ese día, SAP se une a la "nueva moda" de actualizaciones programadas y usará el segundo martes de cada mes. El martes parece ser el más codiciado, puesto que es la opción que primero tomó Microsoft y que luego han copiado Oracle, SAP (y Adobe, en un principio).

Cisco, sin embargo, optó en su momento por el miércoles como día de actualización, aunque solo utiliza dos días al año (el cuarto miércoles de marzo y el cuarto miércoles de septiembre), puesto que sus actualizaciones son cada seis meses.

Adobe por su parte, apostó en un principio igualmente por los segundos martes para coincidir con Microsoft. Duró muy poco, apenas un par de boletines. En la práctica, últimamente la mayoría de días que ha publicado boletines han sido jueves. Pero esto tampoco es una regla. Desde que decidió realizar actualizaciones cada tres meses, apenas ha podido descansar tranquilo un trimestre completo, y en la mayoría de las ocasiones ha tenido que publicar parches cualquier día para arreglar algo urgente. De hecho, se está planteando modificar su política y realizar actualizaciones cada mes. Están tan desesperados, que han barajado la posibilidad de publicar sus parches desde el propio windowsupdate.com.

Oracle, con actualizaciones cada tres meses y también los segundos martes de cada mes, no suele publicar actualizaciones fuera de ciclo. Realmente no se da prisa en corregir nada, y por tanto, suele respetar sus ciclos.

Así las cosas, con este anuncio, ya son cinco las grandes compañías que apuestan por las actualizaciones programadas. Microsoft fue la primera gran compañía en adoptar esta medida y fue duramente criticada en el momento en el que decidió seguir esta estrategia. Pero en general, con el panorama actual, podríamos decir que Microsoft "acertó" dado el número de imitadores que finalmente han copiado su método.

Curiosamente, no nos consta que ningún gran fabricante basado en software libre realice este tipo de actualizaciones programadas. Red Hat o Ubuntu, por poner un ejemplo, publican parches cualquier día, a cualquier hora. Debian igual pero además, ellos deben lidiar con las continuas regresiones que introducen en ellos (ocho en lo que llevamos este año) con lo que incluso, es habitual que vuelvan a publicar las actualizaciones.

¿Son las actualizaciones programadas un terreno reservado a los grandes fabricantes de software cerrado?


Sergio de los Santos
ssantos@hispasec.com


Más información:

SAP introduces a patch day
http://www.h-online.com/security/news/item/SAP-introduces-a-patch-day-1079976.html

Cisco se apunta al carro de las alertas de seguridad programadas
http://www.hispasec.com/unaaldia/3422

Adobe se compromete a mejorar su política de seguridad
http://www.hispasec.com/unaaldia/3862

No hay comentarios:

Publicar un comentario en la entrada