軟件修復是經過檢驗而可靠的活動，它可幫助保護IT基礎設施和最終用戶計算機免受潛在的安全威脅影響，還可以支持持續安裝的軟件漏洞補丁以及功能增強。

大多數軟件由軟件供應商定期更新(例如微軟所謂的周二補丁日)或者在需要修復軟件時進行更新。在本文中，我們將探討自動補丁管理工具的適用場景。

對于軟件漏洞來說，是否修復并不是問題，畢竟企業必須保持其計算機軟件更新了相應的補丁。事實上，對于上市公司，定期修復軟件可能是法律要求，例如薩班斯-奧克斯利法案(SOX)、美國民事訴訟法(FRCP)和健康保險流通與責任法案(HIPAA)等。很多這些政府法規包含實質的經濟處罰，甚至還會對不遵守法規要求的上市公司的CEO和CFO進行刑事指控。

在世界上大多數國家，還有類似的金融、醫療和企業法規，因此，補丁管理應該是每個企業的優先事項。然而，是否應該部署自動補丁管理受若干因素影響，有些取決于特定的企業，有些則涉及到IT整體職能。

修復過程

根據企業規模的不同，以及企業對IT預期和/或賦予IT的職責的不同，補丁管理可能被認為是信息技術專業人員的主要工作。在大多數企業，IT負責計算基礎設施，包括服務器、負載均衡器、存儲陣列、設備、網絡設備等。顯然，IT必須始終負責對這些基礎設施服務器和設備進行即時修復。IT應該確保創建一個沙盒環境，在新補丁發布時對補丁進行測試，再分發到服務器和其他設備。

除了保持基礎設施打補丁和及時更新，IT還必須制定和分發修復過程以保持最終用戶計算機的更新。下面是最終用戶部署補丁管理的兩種流程：

1. 針對全體員工定義和分發書面流程，以保持其臺式機或筆記本電腦保持更新，以及其本地安裝的應用。

2. 部署自動補丁管理系統，讓IT嚴格控制什么時候發布哪些補丁。

如果企業信任員工可以確保其自己的計算機保持更新，最好偶爾保存用戶代表性樣本，以確保他們遵守企業補丁管理政策。要注意的是，如果涉及到政府和公司合規要求，讓員工管理自己的操作系統和應用修復可能讓企業面臨法律責任。在企業分析是使用自合規還是自動工具進行補丁管理時，應該要考慮如果其修復工作未能遵守政府和合規要求而涉及的潛在財務影響。

另外，如果企業有軟件庫存工具(例如微軟System Center Configuration Manager或賽門鐵克端點管理)，那么，底層庫存基礎設施已經部署到位，則可執行對軟件許可證和補丁水平的定期審計。當庫存審計表明最終用戶應用過時，補丁管理軟件可用來確保遵守補丁指南或要求。

雖然部署全面的補丁管理基礎設施需要巨大的成本，但對于處在嚴格監管行業的企業來說，自動補丁管理的好處可能遠遠超過成本。下面讓我們來看看自動補丁管理的潛在用例。

用例1

自動補丁管理過程的第一個企業用例通常適合員工總人數加上服務器總數約為50的企業。在這些企業，IT不能冒風險依靠員工通過手動修復來保持其操作系統和本地安裝應用的更新。

此外，手動修復服務器是非常耗時的過程。快速成本效益分析表明，IT沒有辦法花時間為服務器和其他基礎設施設備手動安裝補丁，因為他們的基礎設施環境有超過10到15臺服務器或其他可修復設備。

企業還應該對修復最終用戶計算機進行類似的成本效益分析。很多企業利用庫存軟件來生成報告，以展示最終用戶計算機和服務器安裝了哪些操作系統和應用，以及所有已安裝軟件的版本和修復水平。這些報告還可以幫助小型IT部門監控最終用戶保持其修復水平的情況。

除了規模較大的企業，自動補丁管理工具也非常適合小型企業，因為這些企業無法依靠最終用戶修復補丁，這很容易讓公司面臨惡意軟件威脅和潛在的法律方面的后果。

用例2

自動補丁管理的第二個企業用例非常適用于受聯邦法規和法案(例如SOX、FRCP和HIPAA)監管的上市公司。在這種情況下，持續的補丁管理可能是法定要求，如果違反這些規定，CEO和CFO可能面臨刑事和民事處罰。

除了滿足監管要求，修復可能是企業必要的流程，以保護企業免受潛在的法律訴訟，這些訴訟可能來自客戶、供應商以及因企業網絡中修復相關問題而遭受財務損失的其他人。如果企業未能保持其計算機和其他設備安裝最新推薦的補丁，企業可能面臨來自客戶、合作伙伴和其他相關方的法律訴訟。例如，如果惡意軟件通過已經發布補丁的漏洞進入企業的IT基礎設施，并且，如果惡意軟件導致個人身份信息(PII)意外或有目的泄露，那么，企業可能面臨巨大而持續的民事責任。

企業在考慮自動補丁管理工具的成本外，還需要注意的是當上市公司沒有可核實、可重復自動補丁管理流程而可能帶來的風險。根據企業特定運營環境和政府合規要求的不同，當修復相關的事故給企業利益相關者造成損害時，企業可能要花費大量的時間、金錢，并且，客戶信譽都會岌岌可危。這就是說，與防止企業因缺乏補丁管理受到的法律和監管行動的成本相比，部署自動補丁管理工具的成本通常相對更少。