二月份第二個(gè)星期二的 Patch Tuesday 補(bǔ)丁發(fā)布在即，微軟卻突然宣布因?yàn)榧夹g(shù)原因這個(gè)月的更新不得不取消。也就是說，Windows 用戶需要等到下個(gè)月才能得到系統(tǒng)更新。而在這一消息傳出來之后，Windows 系統(tǒng)立馬被曝光了 2 個(gè)嚴(yán)重漏洞，Windows 10 的 Edge 瀏覽器也被爆存安全漏洞。

而針對這些漏洞的安全更新，需要等到 3 月份的安全更新才能修復(fù)。在接近 1 個(gè)月的時(shí)間里，數(shù)億 Windows 10 用戶將面臨著 3 個(gè)（至少）漏洞的安全威脅。

在 2003 年 10 月以前，微軟是按照每周一次、按需自取的方式來發(fā)布安全補(bǔ)丁，用以修復(fù) Windows 系統(tǒng)中的已經(jīng)被發(fā)現(xiàn)或者還沒有被曝光的安全漏洞。

在那段時(shí)間內(nèi)，如果 Windows 操作系統(tǒng)被爆出重大漏洞并已嚴(yán)重影響到產(chǎn)品使用，使用 Windows 操作系統(tǒng)的這家公司的 IT 部門就會放下手中的所有工作去微軟找補(bǔ)丁來修復(fù)。然而，這并不是解決問題的本質(zhì)方法，微軟也為此接受到了很多消費(fèi)者投訴。

這種情況終于在 2003 年得到了改善。微軟宣布將會在每個(gè)月的第二個(gè)星期二發(fā)布一次大型安全補(bǔ)丁，并且向外界提供有限的補(bǔ)丁修繕信息。于是乎，就出現(xiàn)了 Patch Tuesday（周二補(bǔ)丁日）這么一個(gè)說法。

通過微軟服務(wù)器發(fā)布的第一個(gè)月度安全補(bǔ)丁發(fā)布于 2003 年 10 月 14 日。在最近的微軟世界合作伙伴大會上，前 CEO 鮑爾默說：「這種每月更新是在座的企業(yè)和消費(fèi)者需求的，因?yàn)槿藗儾⒉幌敫械阶约罕惠p視同時(shí)也不想隨時(shí)都在更新補(bǔ)丁。」

微軟規(guī)定的「補(bǔ)丁日」這種每月一次大修補(bǔ)的方法保證了系統(tǒng)的安全性，在更加完善的補(bǔ)丁管理系統(tǒng)的「加持」下，IT 部門的工作也恢復(fù)了正常。盡管補(bǔ)丁日在出現(xiàn)之初受到了人們的嘲諷，但微軟的做法逐漸成了業(yè)界的標(biāo)準(zhǔn)。像是 Oracle 和 Adobe 這樣的大公司，也開始學(xué)習(xí)微軟每個(gè)月集中發(fā)布一次更新。

在過去的 10 年里，微軟的安全性提高了不少。其中最重要的進(jìn)步就是系統(tǒng)被攻擊的可能性（又被稱為「可利用指數(shù)」）大幅度下降。在補(bǔ)丁日的補(bǔ)丁列表中，可利用指數(shù)補(bǔ)丁分為三個(gè)等級（1、2、3），其中 1 級漏洞的補(bǔ)丁一般被認(rèn)為該漏洞的代碼是已經(jīng)被黑客利用，可能已有用戶電腦遭到攻擊；2 級漏洞的補(bǔ)丁則被認(rèn)為是該漏洞的代碼很難被利用，但也有被利用的可能，即便被利用黑客也不一定可以成功使用；3 級漏洞的補(bǔ)丁指的是該漏洞的代碼不可能被利用，微軟將其定義為「攻擊者不太可能成功利用該漏洞代碼對用戶系統(tǒng)的脆弱處進(jìn)行攻擊」。

然而消費(fèi)者并不知道該在什么時(shí)候更新補(bǔ)丁和更新何種補(bǔ)丁，所以 Windows 系統(tǒng)已經(jīng)被設(shè)置為默認(rèn)自動更新。雖然 10 年前這種做法不能被消費(fèi)者接受，但是微軟認(rèn)為將安全更新設(shè)置為默認(rèn)自動更新是可以接受的。絕大多數(shù)消費(fèi)者使用的 Windows 系統(tǒng)都已經(jīng)在「不知情」的情況下打好了補(bǔ)丁。消費(fèi)者應(yīng)該會喜歡這種安靜的補(bǔ)丁更新方式。

然而隨著技術(shù)的發(fā)展，一個(gè)漏洞從發(fā)現(xiàn)到傳播惡意病毒、軟件，只需要短短幾小時(shí)的時(shí)間。去年我們就看到美國數(shù)百萬臺智能攝像頭因?yàn)閮?nèi)置的安全漏洞無法得到修復(fù)而被黑客當(dāng)成肉雞進(jìn)行 DDoS 攻擊，然后導(dǎo)致整個(gè)美國斷網(wǎng)數(shù)小時(shí)。每當(dāng)出現(xiàn)這個(gè)問題的時(shí)候，我們就會開始思考，微軟這種一個(gè)月一更新的做法能不能合理地保護(hù)用戶系統(tǒng)安全？

在討論微軟之前，我們先看一下其他公司的做法。iOS 操作系統(tǒng)中一直有一個(gè)關(guān)于登錄頁面未加密的問題，這個(gè)問題能夠讓黑客獲得網(wǎng)站的無加密身份認(rèn)證 Cookie 的讀寫權(quán)限，從而冒充終端用戶的身份。這個(gè)問題從 2013 年起就被用戶反饋，知道 iOS 9.2.1 版本才得以修復(fù)，耗時(shí) 3 年。

Android 操作系統(tǒng)則對于某些操作系統(tǒng)的安全漏洞選擇「放棄」。Google 在 2014 年 10 月的時(shí)候收到一個(gè)針對 Android 4.4 版本之前操作系統(tǒng)的安全漏洞報(bào)告，報(bào)告中稱 WebView 組件中存在漏洞，威脅系統(tǒng)安全，該漏洞會令用戶面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。一年之后，Google 公司表示放棄修復(fù)，「如果 WebView 受影響的版本低于 4.4，我們通常不會自行開發(fā)補(bǔ)丁，不過我們歡迎其他人提交補(bǔ)丁以供參考。」而其他定制 Android 操作系統(tǒng)能不能修復(fù)漏洞還不一定呢。此外甲骨文、Adobe 等公司也采用微軟這種一個(gè)月一更新的做法。

對于網(wǎng)頁應(yīng)用，發(fā)現(xiàn)問題可以立即修復(fù)，用戶立馬就可以用到最新的產(chǎn)品和服務(wù)。對于智能設(shè)備的 App 來說，開發(fā)者也可以通過修復(fù)、提交、上架的方法來修復(fù)漏洞，保護(hù)用戶安全。但操作系統(tǒng)無法做到這種程度的快速更新，而且對于操作系統(tǒng)來講，系統(tǒng)更新的難度比 App 更新的難度大太多了。數(shù)千人的 Windows 系統(tǒng)研發(fā)維護(hù)團(tuán)隊(duì)，一處小的修改可能「牽一發(fā)而動全身」。

誠然，一個(gè)月一更新，對于期間發(fā)生的安全問題，微軟是無能為力的，只能寄希望于系統(tǒng)自帶的安全軟件和用戶安裝的殺毒軟件、防護(hù)軟件能夠起效。實(shí)際上，微軟能夠做到每個(gè)月更新一次的更新頻率已經(jīng)是業(yè)界良心，我們已經(jīng)沒有更多理由去要求微軟實(shí)現(xiàn)發(fā)現(xiàn)問題就修復(fù)問題的程度。但我相信，如果微軟數(shù)年后實(shí)現(xiàn)了「一個(gè) Windows」的目標(biāo)后，全世界只有 Windows 10 操作系統(tǒng)在運(yùn)行，那么到時(shí)候就可以實(shí)現(xiàn)安全更新隨時(shí)更，功能性補(bǔ)丁一月一更。而現(xiàn)在，我們還是默默地承受這一切吧。