微軟“周二補丁日”的由來

在 2003 年 10 月以前，微軟是按照每周一次、按需自取的方式來發布安全補丁，用以修複 Windows 係統中的已經被發現或者還沒有被曝光的安全漏洞。在那段時間內，如果 Windows 操作係統被爆出重大漏洞並已嚴重影響到產品使用，使用 Windows 操作係統的公司 IT 部門就要放下手中的工作去微軟找補丁來修複。然而，這並不是解決問題的本質方法。

由此，微軟宣布將會在每個月的第二個星期二發布一次大型安全補丁，於是有了 Patch Tuesday（周二補丁日）這麼一個說法。微軟規定的「補丁日」這種每月一次大修補的方法保證了係統的安全性，在更加完善的補丁管理係統的「加持」下，IT 部門的工作也恢複了正常。像是 Oracle 和 Adobe 這樣的大公司，也開始學習微軟每個月集中發布一次更新。

在討論微軟之前，我們先看一下其他公司的做法。iOS 操作係統中一直有一個關於登錄頁麵未加密的問題，這個問題能夠讓黑客獲得網站的無加密身份認證 Cookie 的讀寫權限，從而冒充終端用戶的身份。這個問題從 2013 年起就被用戶反饋，知道 iOS 9.2.1 版本才得以修複，耗時 3 年。

android 操作係統則對於某些操作係統的安全漏洞選擇「放棄」。Google 在 2014 年 10 月的時候收到一個針對 Android 4.4 版本之前操作係統的安全漏洞報告，報告中稱 WebView 組件中存在漏洞，威脅係統安全，該漏洞會令用戶麵臨數據泄露的風險。一年之後，Google 公司表示放棄修複，「如果 WebView 受影響的版本低於 4.4，我們通常不會自行開發補丁，不過我們歡迎其他人提交補丁以供參考。」而其他定製 Android 操作係統能不能修複漏洞還不一定呢。

而隨著技術的發展，一個漏洞從發現到傳播惡意病毒、軟件，隻需要短短幾小時的時間。去年我們就看到美國數百萬台智能攝像頭因為內置的安全漏洞無法得到修複而被黑客當成肉雞進行 DDoS 攻擊，然後導致整個美國斷網數小時。每當出現這個問題的時候，我們就會開始思考，對於補丁更新，Windows 係統已經設置為默認自動更新。雖然 這種做法不能被消費者接受，但是微軟認為將安全更新設置為默認自動更新是可以接受的。絕大多數消費者使用的 Windows 係統都已經在「不知情」的情況下打好了補丁。

然，一個月一更新，對於期間發生的安全問題，微軟是無能為力的，隻能寄希望於係統自帶的安全軟件和用戶安裝的殺毒軟件、防護軟件能夠起效。實際上，微軟能夠做到每個月更新一次的更新頻率已經是業界良心，對於操作係統來講，係統更新的難度比 App 更新的難度大太多了。數千人的 Windows 係統研發維護團隊，一處小的修改可能「牽一發而動全身」。

如果微軟數年後實現了全世界隻有 Windows 10 操作係統在運行，那麼到時候就可以實現安全更新隨時更，功能性補丁一月一更。