Apples opdateringsprocedure er noget rod

Som nævnt er det standard for større systemer at sikkerheds rettelser frigives efterhånden som de er godkendte, det er så op til modtagerne om de vil installere dem on the fly eller samle dem op i batches. Hvordan er det blevet til en nyhed og med en sådan overskrift?

Artiklens pointe om, at opdateringer til et operativsystem (uanset hvilket) kan være til mindre gene for en driftsfokuseret IT afdeling, så er der INGEN af de vigtige parametre for selvsamme drift, der nævnes i aftiklen.

Hvis man for alvor skulle sammenligne PC med Mac som platform (jeg anvender selv begge, og primært PC/Windows) så ville den rigtige måde at gøre det på, være en opstilling af kriterier for, hvad der sikrer stabil drift.

I Windows-verdenen lovpriser man frigivelsen af opdateringer efter en streng tidsplan. Men ÅRSAGEN til dette, er vigtig i denne sammenhæng. Skøn artiklen altså ignorerer det fuldstændigt.

Og årsagen er nu ellers simpel nok: Historisk har der været et hav af sikkerhedsopdateringer på Windows platformen, der fik vigtige dele af operativsystemet eller de installerede forretningsapplikationer til at fejle. Resultatet blev, at enhver større IT organisation stoppede med at rulle disse opdateringer ud med det samme. I stedet skulle de samles op og indgå i interne softwareudrulningssystemer, så man kunne lave "interne pakker" med ændringer til slutbrugernes computere, og grundigt teste hver enkelt pakkes eventuelle negative konsekvenser.

Men hvad nu, hvis sikkerhedsopdateringer til andre operativsystemer slet ikke bringer denne hope af driftsproblemer med sig? Hvad nu hvis opdateringer til OS X, SUSE Enterprise, Solaris, osv. slet ikke har alle disse negative konsekvenser for slutbrugerne og driften? Tjah, så bliver det pludseligt komplet ligegyldigt hvornår de rulles ud. Eller nej, hov, vent, faktisk bliver det i realiteten til "jo før, jo bedre". For hvis der ikke er negative konsekvenser (og behov for stakkevis af tests) hvorfor så ikke bare rulle opdateringerne ud?

En driftsorganisation skal fokusere på de parametre der sikrer stabil drift. Men det betyder ikke at man pr. definition skal teste alle sikkerhedsopdateringer i alle ender og kanter. Det skal man kun gøre, hvis erfaring/historik/præcedens er, at der er et reelt behov for en sådan procedure.

Nu skal jeg fremhæve, at jeg ikke har belæg for at postulere, at opdateringer til diverse BSD/Linux/UNIX distributioner pr. definition kræver mindre test og har færre negative konsekvenser. Men det er åbenlyst at stille spørgsmålet: *ER* der samme behov for at teste software opdateringer til non-Windows operativsystemer efter samme opskrift og procedure som Windows opdateringer? Eller er det mon bare blevet vanetænkning, at en driftsafdeling partout skal bruge adskillge mandemåneder pr. år til dette?

For den sags skyld kunne man udvide spørgsmålet lidt, så det også omfatter nyere Windows opdateringer: *ER* der stadig samme behov for at teste f.eks. Vista opdateringer efter så omfattende procedurer, inden de rulles ud til brugerne? Hvor stor en andel af de seneste 20 Windows Vista opdateringer har haft negative konsekvenser der underbyggede dette? Er der stadig behov for at bibeholde den enormt berukratiske og omfattende test af samtlige patches der sendes ud fra Redmund?

Uden et svar på diss spørgsmål, med reelle tal der kan underbygge de faktiske behov, er ovenstående artikel komplet ligegyldig. Den udstiller mere vanetænkning og konservatisme over for udrulning af sikkerhedsopdateringer, end den udstiller et problem med måden de udrulels på.

- Jesper

Naturligvis skal Apple (og andre) da release deres patches, så hurtigt som de er klar.

Hvis man ønsker at styre hvornår diverse updates fra Apple skal installeres, så er det til gengæld lynhurtigt sat op:
1) Aktiver Software Update Server (en del af OS X server). Den fungerer som et mirror af de patches som Apple frigiver.
2) Luk for port 63000 på firewallen, så brugerne ikke selv kan trække patches ned fra Apple.
Med det på plads, kan IT-driften nemt styre hvad der deployes og hvornår det skal ske.

Noget rod?

Det lyder umiddelbart som om, at den gode Andrew Storms ikke er bekendt med Software Update Server-tjenesten, der leveres som standard i OS/X Server. Jeg tillader mig lige at citere fra Apples egen beskrivelse af funktionaliteten:

"By deploying a software update server, administrators can control how and when client computers download software, enabling access to approved software updates only. As the administrator, you now have time to evaluate and test software updates before deploying them throughout your organization.

At the same time, having a local caching software update server streamlines network use, saving the costs of multiple downloads of the same update and reducing unnecessary bandwidth consumption. By eliminating the need for each Mac OS X system to engage in multiple separate downloads for each software update, bandwidth charges (which add up quickly in large organizations) are reduced."

Kilde: http://www.apple.com/ (...)

På denne side gennemgår Apple de væsentligste af OS/X Servers faciliteter til Client Management. Her nævnes bl.a. directory based management of users, groups and computers; net-baseret boot fra central server disk; central kontrol og deployment af software og disk images.

Det er spændende, at overvejelserne om brug af Mac og OS/X tilsyneladende er kommet så langt ude i virksomhederne, at man begynder at forholde sig til problemstillinger som fjernadministration, -backup og konfigurationsstyring, men jeg tvivler stærkt på, at det gavner debatten, når tilfældige "eksperter" citeres for påstande, som tydeligvis ikke er fremkommet på et grundlag af viden..

Hvad i alverden menes der med det?