Hace poco tuve una discusión sobre la instalación automática de actualizaciones de seguridad. El sistema es usado y administrado por una pequeña organización sin fines de lucro, esencialmente uno o dos administradores que administran el sistema en su tiempo libre. Por lo general, solo tocan la casilla si hay actualizaciones de características por hacer, o si algo no funciona (lo que generalmente descubren las personas que se quejan de ello, ya que no hay monitoreo).
Dado que existe un alto riesgo de que los administradores descuiden las actualizaciones de seguridad, sugerí automatizar las actualizaciones de seguridad (específicamente, instalar solo actualizaciones de seguridad, no otras actualizaciones). Ahora, otra persona afirmó que ningún administrador serio configuraría la instalación automática de actualizaciones de software.
Las posibles razones contra la automatización que se me ocurren no me parecen problemas importantes:
- Repositorio de actualizaciones falsificadas: la actualización manual hace que esto no sea menos probable y, con la verificación de firmas adecuada, esto debería ser bastante difícil de explotar.
- Las actualizaciones que rompen el sistema: la mayoría de las actualizaciones de seguridad deben mantener la compatibilidad de la interfaz y, por lo tanto, serían reemplazos directos, por lo tanto, este riesgo se mitiga adecuadamente al limitar la instalación automática a las actualizaciones de seguridad.
- Corrupción de datos debido a las actualizaciones en un sistema en ejecución: con el empaquetado y las rutinas de instalación adecuadas, esperaría que los paquetes tomen las medidas adecuadas (por ejemplo, apagar un servicio antes de actualizarlo y reiniciarlo después).
- Tiempo de inactividad: se puede controlar mediante la programación de actualizaciones automáticas que se llevarán a cabo durante una ventana de mantenimiento designada; Aparte de eso, considero que es un problema menor en este caso particular, ya que el uso del sistema es bajo.
¿Cuál es la recomendación general con respecto a la instalación automática de actualizaciones de seguridad (considerando el escenario de un sistema que atrae la atención del administrador solo de forma esporádica)? ¿Cuáles son los riesgos causados por la instalación automática de actualizaciones de seguridad?