微软“周二补丁日”的由来

在 2003 年 10 月以前，微软是按照每周一次、按需自取的方式来发布安全补丁，用以修复 Windows 系统中的已经被发现或者还没有被曝光的安全漏洞。在那段时间内，如果 Windows 操作系统被爆出重大漏洞并已严重影响到产品使用，使用 Windows 操作系统的公司 IT 部门就要放下手中的工作去微软找补丁来修复。然而，这并不是解决问题的本质方法。

由此，微软宣布将会在每个月的第二个星期二发布一次大型安全补丁，于是有了 Patch Tuesday（周二补丁日）这么一个说法。微软规定的「补丁日」这种每月一次大修补的方法保证了系统的安全性，在更加完善的补丁管理系统的「加持」下，IT 部门的工作也恢复了正常。像是 Oracle 和 Adobe 这样的大公司，也开始学习微软每个月集中发布一次更新。

在讨论微软之前，我们先看一下其他公司的做法。iOS 操作系统中一直有一个关于登录页面未加密的问题，这个问题能够让黑客获得网站的无加密身份认证 Cookie 的读写权限，从而冒充终端用户的身份。这个问题从 2013 年起就被用户反馈，知道 iOS 9.2.1 版本才得以修复，耗时 3 年。

android 操作系统则对于某些操作系统的安全漏洞选择「放弃」。Google 在 2014 年 10 月的时候收到一个针对 Android 4.4 版本之前操作系统的安全漏洞报告，报告中称 WebView 组件中存在漏洞，威胁系统安全，该漏洞会令用户面临数据泄露的风险。一年之后，Google 公司表示放弃修复，「如果 WebView 受影响的版本低于 4.4，我们通常不会自行开发补丁，不过我们欢迎其他人提交补丁以供参考。」而其他定制 Android 操作系统能不能修复漏洞还不一定呢。

而随着技术的发展，一个漏洞从发现到传播恶意病毒、软件，只需要短短几小时的时间。去年我们就看到美国数百万台智能摄像头因为内置的安全漏洞无法得到修复而被黑客当成肉鸡进行 DDoS 攻击，然后导致整个美国断网数小时。每当出现这个问题的时候，我们就会开始思考，对于补丁更新，Windows 系统已经设置为默认自动更新。虽然 这种做法不能被消费者接受，但是微软认为将安全更新设置为默认自动更新是可以接受的。绝大多数消费者使用的 Windows 系统都已经在「不知情」的情况下打好了补丁。

然，一个月一更新，对于期间发生的安全问题，微软是无能为力的，只能寄希望于系统自带的安全软件和用户安装的杀毒软件、防护软件能够起效。实际上，微软能够做到每个月更新一次的更新频率已经是业界良心，对于操作系统来讲，系统更新的难度比 App 更新的难度大太多了。数千人的 Windows 系统研发维护团队，一处小的修改可能「牵一发而动全身」。

如果微软数年后实现了全世界只有 Windows 10 操作系统在运行，那么到时候就可以实现安全更新随时更，功能性补丁一月一更。