末日审判:我的应用程序和 COTS 不使用 .NET,而我的 Windows 7 客户端默认安装了最高 .NET 3.5。不安装和维护最新的 .NET 4.x 版本是否存在安全漏洞?
作为负责维护用户机器的运营和支持工程师,我的工作职责之一是确保它们始终安装最新的补丁。我的客户端安装了 Windows 7,默认情况下它安装了 .NET 3.5,因此我需要使用最新的 .NET 3.5 安全更新来修补它们,即使部署的应用程序和安装的 COTS 都没有任何 .NET 依赖项。但是,在每月对客户端进行缺少补丁的扫描时,总是会提到 .NET 4。
从我在网上找到的信息来看,应该安装所需的 .NET 版本,但这是从开发的角度来说的。那么从生产环境中的维护角度来说呢?打个比方,建议始终部署最新的兼容 Python 版本,因为它包含最新的安全性和错误修复(例如,如果应用程序是在 Python 3.6 中开发的,则建议在生产环境中修补到 Python 3.9,前提是应用程序没有崩溃)。这个原则也适用于 .NET 吗?