Die Digital Soapbox hat einen Artikel über The Psychology of Patching…
I’m not saying patching isn’t critical and important, don’t get me wrong – but it shouldn’t be as “all-important” as some people from our security realm would dictate. If you don’t patch to the latest Oracle patch-bundle, the sky won’t fall if your application design is security-conscious.
Ausgelöst durch einen Blog von Eric Maurice, via ZDNets Zero Day Blog. Die Frage war, ob man Patchen einfach einplanen muss, oder ob es gute Gründe gibt, die gegen das Applizieren jedes Security Patches sprechen.
Da gilt es immer zu beachten, dass nicht nur Patchen direkt Kosten verursacht, sondern Nichtpatchen indirekt auch Kosten verursachen kann. Die lassen sich aber schlecht quantifizieren, so dass man sie in extrem kostenbewussten Environments am liebsten ganz ignoriert.
Und dafür den den Applikationsteam als Hausaufgabe mitgibt, die Applikation securitybewusst zu entwickeln… und damit die Kosten einfach verlagert. Anhand dieser Argumentation sieht man immer gut, ob jemand eher aus dem IT-Infrastruktur-Lager kommt, oder aus Development-Team.