负责公司补丁的安全经理必看：微软的节奏

　　就象时钟一样，微软每个月都会定期发布安全公告，每个月都有人问我是小问题还是大问题，发展到今天微软安全补丁已经形成了固定的发布周期。我没有任何特殊的内幕消息，也不能代表微软，我只是从公开的信息就能清楚地知道工作周期。

　　60天质量保证(QA)周期

　　通常，微软的补丁具有30到60天的QA周期，如果好奇，你可以手动下载补丁，看看文件的数字签名日期便知晓了，这不是一个绝对准确的日期，因为补丁的QA过程时间不一定是固定的。

　　使用这个方法，我计算出了2009年12月补丁QA周期平均是54天，2009年11月补丁QA周期平均是36天，2009年10月补丁QA周期平均是45天。

　　过山车曲线

　　安全团队负责取得、测试和安装补丁，感觉微软发布的补丁就象过山车一样，2010年前三个月中，我们看到在CVS和公告中的数量是大起大落，1月份有2个公告，2月份有13个公告，3月份截至本周仅有2个。

　　如果我们根据CVS每个月的补丁数量绘制一条曲线，发现一件有趣的事，微软的补丁每隔2个月会爆发一次，图1是从2006年1月开始，截至2010年3月的补丁趋势图，图2仅显示了过去两年(2008和2009)的情况，曲线起伏更大。

　　图 1 2006-2010年补丁数变化曲线

　　图 2 2008，2009年补丁数变化曲线

　　经验

　　我们无法预测任何一个月的补丁细节，但安全团队可以使用这些数据点进行规划，我们都知道资源是有限的，但风险和威胁在不断增加，因此更好地利用资源从未像现在这样重要。

　　幸运的是，微软不但按照一定的节奏发布补丁，而且规模也是相对可预测的，自3月周二补丁日后，我们可以预计4月的补丁数量会升上去，至少会有两位数。

　　如果你是负责公司补丁的资源管理经理，了解这一切可以帮助你做好计划，这个月你应该可以好好休息，下个月应该是补丁的高发期，因此你应该提前做好计划，安排好足够的人手安装和测试补丁。