更新还是不更新？

在确定修补策略时，应在安全性和敏捷性与稳定性和正常运行时间之间取得平衡。对此，您的反击方法应该是“好的，但您需要知道，我们现在面临着这些服务器被入侵、我们的数据被盗或服务器无法运行的风险”和“好的，但您需要知道，这会影响我们对该系统的供应商支持，以及该系统未来与新系统交互的能力”。

针对长期的“没有损坏，就不要更新”的心态，你应该明确一点：

• 将一个未打补丁的、已经落后的遗留系统迁移到现代系统是一项很多比随着时间的推移逐渐更新该系统更加昂贵和痛苦的过程。
• 经验丰富且技术娴熟的 IT 人员会积极寻找新技术和不断发展其 IT 系统的公司。如果一家公司因为系统停滞不前而失去高度敬业、富有创造力的 IT 员工，那么在人员流动、机会流失和知识流失方面，就会产生非常实际的金钱成本。那么，您剩下的就只有“终身员工”了。

希望这能给你一些筹码，祝你好运，说服上述人员认真对待此事。一如既往，建立书面记录，证明你已经告知管理层他们正在承担的风险。

这是一场永无止境的争论，理性的人不会同意。如果你说的是用户电脑，我同意它们需要更新。如果你说的是服务器，请考虑为面向互联网和不面向互联网的服务器制定单独的策略。我不知道你的服务器怎么样，但在我的环境中，可能有 10% 的服务器有开放到互联网的端口。这些面向互联网的服务器在安全补丁方面具有最高优先级。不面向互联网的服务器优先级较低。

安全专家会认为这种方法存在问题，因为如果黑客真的进入了你的网络，未打补丁的服务器将允许漏洞像野火一样在网络中传播，这是一个合理的说法。不过，如果你把这些面向互联网的服务器严密锁定，并正确配置防火墙以仅打开绝对需要的端口，我认为这种方法是有效的，并且通常可以用来安抚那些害怕补丁的经理。

如果您仅依赖 Windows Update 来获取补丁（您没有提到您正在运行哪个操作系统，但我主要使用 Windows，所以这是我的参考），请查看每月发布的实际修补程序。我有一些服务器，如果我在它们上运行 Windows Update，我会被告知我需要 50 多个补丁，但如果我浏览这些补丁并研究它们每一个，我会发现 90% 的补丁项目与安全无关，但修复了影响我没有在该机器上运行的服务的错误。在使用补丁管理系统的较大环境中，通常会审查发布的所有内容，只关注绝对必要的内容，这通常占微软发布内容的 10% 左右。

我的观点是，关于“修补还是不修补”的争论表明你必须站在这一边或另一边，但事实上，这是一个巨大的灰色地带。

我只能谈论服务器，但我们有一个“季度更新”制度，每年在四个预定和公布的日期，我们会汇总更新请求，将它们应用到我们的参考环境中，运行一个月以测试稳定性，如果良好，则在接下来的几个月内推出n天/周。除此之外，我们还采用了紧急更新政策，如果情况严重，我们能够在一两天内部署参考、测试和推出紧急更新 - 虽然在过去 4 年左右的时间里，这一政策只使用过 2/3 次。

这种双重方法确保我们的服务器保持合理更新，但不会过于愚蠢，更新由主题专家（即固件、驱动程序、操作系统、应用程序人员）而不是供应商推动，而且如果需要，它还可以快速修复。当然，我们很幸运，整个业务中只有很少的不同硬件模型（<10 个服务器变体）和可观的、最新的参考平台可供测试。

我的观点是，最好的做法是介于你两个极端之间。例如，如果没有明显的理由，为什么你如此迫切地想要升级 ESX，而升级过程中可能会破坏正在运行的系统？当然，如果它是面向公众的，它可能存在漏洞，但它不应该从你的网络外部直接访问，那么风险在哪里？是否存在任何错误或功能缺失，实际上给你带来了原因升级？

为了升级而升级，这才是你真正想要的（“但你可以即将经历的”），即使声称你没有经历，也是一条荒谬而危险的道路。除非你能提出一个实际的原因，而不是某些理论上可能的原因，如果别人反对升级，你就永远无法说服他们。

如果您认为确实有理由进行升级，则应记录其利弊（而且总是有弊端），并将其呈现给高层。妥善记录后，应该不会有太大阻力。如果您无法提供令人信服的论据，那么请坐下来认真思考一下这个事实。

编辑

我认为我应该明确说明，我认为应用必要的安全性和稳定性补丁与执行软件或操作系统升级之间存在巨大差异。前者是我在经过适当测试后实施的。后者只有在有实际好处时我才会实施。