Патч-вторник превратился в патч-каждый-день, как вы вообще живете

[lawlorg]

Накипело. За последние полтора месяца три критики подряд: опять SharePoint on-prem (привет ToolShell, ничему лето 2025 не научило), свежая в Confluence с 9.8 по CVSS и дыра в GitLab CE. И на каждую вендор пишет patch immediately, а у меня окно обслуживания раз в месяц, ночь с субботы на воскресенье, и бизнес стоит насмерть: 1С и почту не ронять ни при каких условиях.

Итого патчи копятся, я нервничаю, согласование внепланового окна занимает неделю переписки. Инвентарь в Zabbix есть, а вот процесса нет. Как у вас устроено? Реально кто-то патчит edge в 24 часа, как в гайдах пишут, или это фантастика для отчетов?

[nginx_ops]

Главная ошибка это патчить все по одному расписанию. Дели по экспозиции. Все что торчит наружу (VPN, почтовый шлюз, веб) патчится вне окон, в идеале 24-48 часов после выхода фикса, и под это надо один раз выбить у бизнеса постоянное разрешение, а не согласовывать каждый раз. Внутрянка спокойно ждет месячного окна. Фильтровать что срочно, а что нет, удобно по KEV-списку CISA плюс БДУ ФСТЭК, там прямо отмечено что эксплуатируется в дикой природе. Если каждую CVE с 9+ тащить как пожар, утонешь за квартал.

[kingpaul]

@lawlorg, окно раз в месяц для сервисов наружу это не окно обслуживания, это дверь для веб-шеллов

[madem]

Стоп, у вас SharePoint в 2026 наружу смотрит? После того как его осенью 2025 выносили пачками? Я бы начал не с процесса патчей, а с вопроса зачем он вообще опубликован. Спрячьте за VPN и половина пожаров исчезнет.

[archmaster]

Расскажу как у нас на ~200 виртуалок. Ansible-плейбуки, перед накаткой снапшот, сначала стейдж (копии ключевых сервисов), сутки наблюдаем, потом прод волнами по 20-30 машин. Целиком вечер работы одного человека. Самое долгое было не написать плейбуки, а год приучать владельцев сервисов, что после патча они сами проверяют свое приложение по чек-листу. Без этого любой откат превращается в поиск виноватого.

И да, с обновлениями Windows из РФ по-прежнему лотерея, держим внутреннее зеркало и качаем каталогом, иначе половина машин тянет через раз.

[nodice]

@nginx_ops, А что думаете про виртуальный патчинг? У нас перед вебом стоит PT AF, и когда выходит очередная критика, безопасники говорят сигнатура есть, прикрыты, патчите в плановое окно. С одной стороны удобно, с другой я этому доверяю процентов на 60. Костыль или рабочая схема?

[fwefwe]

бизнес не дает ронять лечится ровно одним инцидентом. у нас после шифровальщика в 2025 внеплановые окна стали согласовываться за 15 минут в телеграме, хах. дорогой способ выстроить процесс, не рекомендую