Recentemente sono entrato in una discussione riguardante l'installazione automatica degli aggiornamenti di sicurezza. Il sistema è utilizzato e gestito da una piccola organizzazione non profit, essenzialmente uno o due amministratori che gestiscono il sistema nel loro tempo libero. Di solito toccano la casella solo se ci sono aggiornamenti delle funzionalità da fare, o se qualcosa non funziona (cosa che in genere riscontra da parte delle persone che si lamentano perché non c'è monitoraggio).
Poiché c'è un alto rischio che gli amministratori trascurino gli aggiornamenti di sicurezza, ho suggerito di automatizzare gli aggiornamenti di sicurezza (in particolare l'installazione di soli aggiornamenti di sicurezza, non altri aggiornamenti). Ora qualcun altro ha affermato che nessun amministratore serio avrebbe mai configurato l'installazione automatica degli aggiornamenti software.
Le possibili ragioni contro l'automazione che riesco a pensare non mi sembrano importanti:
- Archivio di aggiornamenti contraffatti - l'aggiornamento manuale rende questo non meno probabile che accada, e con una verifica della firma appropriata, questo dovrebbe essere abbastanza difficile da sfruttare.
- Aggiornamenti che infrangono il sistema - gli aggiornamenti di sicurezza dovrebbero per la maggior parte mantenere la compatibilità dell'interfaccia e sarebbero quindi sostituzioni drop-in, quindi questo rischio è adeguatamente mitigato limitando l'installazione automatica agli aggiornamenti di sicurezza.
- Danneggiamento dei dati a causa di aggiornamenti su un sistema in esecuzione: con le giuste procedure di installazione e installazione, mi aspetto che i pacchetti prendano le misure appropriate (ad esempio arrestando un servizio prima di aggiornarlo e riavviandolo in seguito).
- Tempo di inattività: può essere controllato programmando gli aggiornamenti automatici da effettuare durante una finestra di manutenzione designata; a parte questo, lo considero meno un problema in questo caso particolare in quanto l'utilizzo del sistema è basso.
Qual è la raccomandazione generale riguardante l'installazione automatica degli aggiornamenti di sicurezza (considerando lo scenario di un sistema che riceve l'attenzione dell'amministratore solo sporadicamente)? Quali sono i rischi causati dall'installazione automatica degli aggiornamenti di sicurezza?