就象時鐘一樣，微軟每個月都會定期發布安全公告，每個月都有人問我是小問題還是大問題，發展到今天微軟安全補丁已經形成了固定的發布周期。我沒有任何特殊的內幕消息，也不能代表微軟，我只是從公開的信息就能清楚地知道工作周期。

60天質量保證（QA）周期

通常，微軟的補丁具有30到60天的QA周期，如果好奇，你可以手動下載補丁，看看文件的數字簽名日期便知曉了，這不是一個絕對準確的日期，因為補丁的QA過程時間不一定是固定的。

使用這個方法，我計算出了2009年12月補丁QA周期平均是54天，2009年11月補丁QA周期平均是36天，2009年10月補丁QA周期平均是45天。

過山車曲線

安全團隊負責取得、測試和安裝補丁，感覺微軟發布的補丁就象過山車一樣，2010年前三個月中，我們看到在CVS和公告中的數量是大起大落，1月份有2個公告，2月份有13個公告，3月份截至本周僅有2個。

如果我們根據CVS每個月的補丁數量繪制一條曲線，發現一件有趣的事，微軟的補丁每隔2個月會爆發一次，圖1是從2006年1月開始，截至2010年3月的補丁趨勢圖，圖2僅顯示了過去兩年（2008和2009）的情況，曲線起伏更大。

圖 1 2006-2010年補丁數變化曲線

圖 2 2008，2009年補丁數變化曲線

經驗

我們無法預測任何一個月的補丁細節，但安全團隊可以使用這些數據點進行規劃，我們都知道資源是有限的，但風險和威脅在不斷增加，因此更好地利用資源從未像現在這樣重要。

幸運的是，微軟不但按照一定的節奏發布補丁，而且規模也是相對可預測的，自3月周二補丁日后，我們可以預計4月的補丁數量會升上去，至少會有兩位數。
如果你是負責公司補丁的資源管理經理，了解這一切可以幫助你做好計劃，這個月你應該可以好好休息，下個月應該是補丁的高發期，因此你應該提前做好計劃，安排好足夠的人手安裝和測試補丁。

作者簡介：

Andrew Storms是nCircle公司的安全運營總監，他負責制定和實施公司的安全遵從計劃，以及監督IT部門每天的運營情況。

原文名：The Cadence of Microsoft Security Patches  作者：Andrew Storms