补丁管理.

补丁管理覆盖从漏洞披露到验证完成的完整生命周期,涉及操作系统、固件、应用、容器和依赖项。成熟的项目会基于可利用性数据(CVSS、EPSS、KEV)、业务关键性和补偿性控制来排定优先级,并通过分级的发布环逐步推送,降低运营风险。自动化、变更窗口、回滚方案以及按严重程度划分的 SLA 必不可少。

真正致命的窗口在“补丁发布”到“补丁部署”之间

补丁存在并不能保护任何人,安装它才行;而两者之间的间隔正是入侵发生之处。

• Equifax(2017): Apache Struts 漏洞 CVE-2017-5638 于 2017 年 3 月 7 日发布补丁;攻击者约在 3 月 10 日开始利用 Equifax 未打补丁的门户,持续外泄约 1.47 亿人的数据直到 7 月底,只因补丁始终未被应用。
• WannaCry(2017 年 5 月): 微软于 2017 年 3 月 14 日发布 MS17-010,修复了被泄露的 EternalBlue 漏洞利用所滥用的 SMBv1 缺陷(CVE-2017-0144)。两个月后,未部署该补丁的机构——包括英国 NHS 的部分单位——被蠕虫式传播的勒索软件瘫痪。
• Log4Shell(CVE-2021-44228,2021): 一个无处不在的日志库中极易利用的 RCE,说明了为何实时的软件物料清单(SBOM)如今已成为补丁管理的一部分。

成熟项目如何排定优先级

由于没有团队能一次修补所有问题,现代项目按“被利用的可能性”而非仅按 CVSS 严重程度来排序。CISA 的 已知被利用漏洞(KEV) 目录(2021 年 11 月推出)与 FIRST 的 EPSS 概率评分,使团队能优先处理正在被主动利用的少数漏洞,而常规修复则通过带回滚方案的分级发布环推进。

flowchart LR
  A[漏洞披露 / CVE] --> B[资产清单 + SBOM:<br/>我们是否受影响?]
  B --> C[排定优先级:CVSS + EPSS + KEV<br/>+ 业务关键性]
  C --> D[在试点环测试]
  D --> E[分级推送:<br/>先广泛再生产]
  E --> F[通过重新扫描验证]
  F -->|失败 / 回归| G[回滚 + 补偿性控制]
  G --> D