Patch一定都要上嗎?

在此先引用漫談 Patch Management ■ 樂家富 這位先進文章中的一段
評估哪些風險（Risk）可能對企業或組織產生較為急迫的影響及衝擊

當然有一點是必須謹記於心的---並非所有的修正程式（Patch）都必須安裝在所有的系統上，您必須找出那些適用於您系統上的修正程式（Patch，畢竟每個系統的設定都不同，在某些狀況下，某些弱點（Vulnerability）並不會影響您既有的系統，當然還有一點即是必須先行評估該修正程式（Patch）對現行系統可能造成的影響。永遠必須記得的便是您及您的組織可以決定該安裝哪些修正程式（Patch）或不安裝哪些修正程式（Patch）。

在這裡個人提出一個問題給大家參考,裝patch跟安裝新軟體何者的系統風險較大?
Windows系統從來不是一個Loose Couple的設計.
安裝更新後如果新的hotfix與應用程式不相容
那一台有著更安全OS卻無法穩定執行甚至無法執行原來應用程式的系統的意義為何?


話說數年前敝人在工作上有機會管理到一套 Digital UNIX 4.0f的系統
Alpha應該是一些UNIX管理者回憶中評價不錯的機器(被Compaq併購後好像聲勢不再)
當時Digital原廠的大哥細心不嫌我煩的回答我問題
至今我還是牢記他給我的一些概念

新人總是衝,於是我常上當時還在的digital公司網頁去看管理文件
當時我很自以為聰明的發現了公司的patch是落後於digital最新的patch的
於是我打電話給當時負責我們公司的大哥
請教他是否要把patch上到最新
大哥反問了我一個問題:你們公司的系統最近有不穩定嗎?
應用程式有不正常中斷嗎?
沒有那你為什麼要上?
這給了沒仔細思考只想衝的我一個當頭棒喝

這個迷思到了微軟時代
似乎全部消失了,大家都想反正去跟到最新的patch就沒事了
好一陣子似乎運氣不錯 一切平安
最近這個輕率的動作終於出現後遺症了
敝人服務的公司的某系統在兩年沒有出什麼trouble的情形下
出現產生應用程式錯誤,
於是目前解決的方式可能是在等微軟或廠商提出解決方案
應該是新的patch吧.XD
然後我的PC有套用了快1年多的英英字典軟體出現錯誤簽名無法使用
我也只能回報此錯誤,然後希望它會在微軟宣布不support XP前有修正
回家再次的小心把windows update調回手動,並每次認真考慮是否要裝任何一個新hotfix

檢視出問題可能的異常點,
本公司系統總是更新到最新patch及hotfix
本公司PC為了安全Windows Update是強制的Auto
本文並不是要攻擊自己公司的系統部門
只是要請大家正視照單全收更新的風險
如果是product的正式機我想可能應該要更謹慎,
也許建立一套測試環境才是最佳辦法
上patch後同步測試個半個月系統沒有不正常,再上到正式機

PS.本BLOG絕對不會變成IT BLOG,我純粹是因為不能用那個字典需要發洩一下