1、4、7、10月，距離17號最近的每個周二，Oracle都會發布產品安全補丁包。這些補丁包被稱為“關鍵補丁更新” (CPU:Critical Patch Update)，通常是累積的更新，處理與Oracle產品相關的安全漏洞。今年4月的更新，包含了跨Oracle平臺299個漏洞的補丁，是其截至目前最大的CPU。

將于7月18日發布的下一波CPU，有很多內容尚需考慮。

作為數據庫和云計算巨頭，Oracle的軟件被很多財富500強公司用在至關重要的操作運營中。全球大多任務關鍵環境和150億臺設備上，都運行有該基于Java的開源軟件。

4月的CPU包含有Java產品核心組件安全更新，其中很多組件與大型金融公司、醫療提供商和運輸公司的常用第三方軟件相關。這些行業經常遭受惡意黑客的攻擊，盡快應用最新的安全更新對它們來說至關重要——這是一項最先進的公司也需要幾個月才能完成的任務。

作為全球大型軟件供應商，Oracle軟件產品眾多，雖有專業安全資源和專門的測試及修復團隊，在發現及響應深埋于其核心軟件平臺中的主要脆弱組件上，卻難免疏于遲緩。

據統計，Oracle每100個小時就在其產品中發現一個新漏洞。最近發布的CPU中一些漏洞甚至可追溯到2012年。說句公道話，如今，每家軟件開發商都在發布相當于 Oracle CPU 的更新。但Oracle的市場份額，確保了它的行業領先位置。

這是5年時間里未打補丁的開放漏洞。里面包含了30多個Java相關CVE，其中8個直接影響核心Java平臺。近70%的Java相關CVE都是無需身份驗證即可遠程利用的。

在當前補丁包中處理經年漏洞，恰恰證明了我們正在逼近危機點，我們無法以及時有效的方式響應漏洞，仍然主要依靠跟不上漏洞發展速度和體量的傳統方式。這不是一種可持續發展的模式。鑒于第三方軟件的普遍性，認識到這一點，對太多公司具有很大意義。最近一份對1000多款商業Web應用的調查報告中，96%的App都包含有第三方代碼，其中67%帶有已知漏洞，52%還是高危漏洞。

開源組件不會自動或定期更新，很難跟上需要頻繁打補丁的漏洞步伐。與主流開發商定期發布補丁的軟件不同，保存在函數庫和在中央代碼庫中的開源代碼通常需要用戶自行搜索或開發補丁。

幸運的是，存在久經檢驗的技術可以幫助緩解這大范圍安全更新的問題。很多公司提供以全新方式監視應用的解決方案，還有采用服務器和云端安全虛擬容器進行防護措施。另有第三方選項可供使用，可在不改代碼不影響運行速度的情況下起到補丁的作用——運行在軟件更底層，監視網絡流量包、文件系統調用和CPU指令，攔住各種攻擊。

4月的CPU，顯示出IT行業在保護現代模塊化企業應用上面臨的巨大挑戰，這些應用都是由數十乃至上百個第三方庫和模塊構成的。在7月，我們需要考慮：如果Oracle這樣的頂級廠商，都難以在 Oracle Fusion 這樣的主流軟件平臺上保護其第三方庫依賴，那我們怎么可以期待非高端IT廠商的“普通”企業能做得更好呢?

我們至今仍在處理數年前就已曝光的 Struts v1 和 Apache Commons 相關漏洞的事實，不僅令人震驚，也十分麻煩而棘手。Struts 2 補丁包反而不是那么令人驚訝，因為漏洞在2017年3月才公布，但麻煩卻一點都不少，因為其指向與第三方軟件組件相關的持續性問題。

平均每天有10個新的開源漏洞被報告。但找出這些漏洞的能力不是問題，修復才是大問題。Oracle的安全團隊已經盡其所能，但就像所有網絡安全團隊一樣，他們面對一波又一波被發現的漏洞也是疲于奔命。

過去20年里開發出來的每一個有效網絡安全方法，都全數融入到了公司企業防護自身的方法當中。然而，軟件漏洞的廣泛性多發性，意味著我們依賴了20多年的安全方法，如今已提供不了繼續前行所需的安全水平了。

盡職系統維護、持續更新，以及自動化和手動第三方安全解決方案，都是終端用戶全方位防護所需的。