質問
以下は参考になりませんか?
日本のセキュリティチーム (Japan Security Team)
http://www.exconn.net/Blogs/team02/
セキュリティホール memo
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/
某MSさんパッチは恒例になったかのように発表後に不具合修正等があり、
皆さんも悩まされていると思います。
当社でもWSUS導入当初から手動での選択承認にしており、
bunnymenさんのお考えと同じようにセキュリティパッチは約1週間、
世間の様子見をしてから承認しています。
約1週間の情報収集方法として、
まずはご存知でしょうが、本家のMSさんの無料メール配信システムに登録しています。
セキュリティニュースレター
http://www.microsoft.com/japan/technet/security/secnews/default.mspx
セキュリティ警告サービス
http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx
そして、当社のメイン情報収集先は、有償メール配信ですが、
HotFix Report(ホットフィックス・レポート)を購読しています。
http://www.hotfix.jp/
< フリーのBBSは http://bbs.hotfix.jp/ >
この情報を元に社内ポータルサイトでパッチ情報を公開しています。
その他に、housaさんと同様にいくつかのセキュリティ情報サイトを
渡り歩くことも大事な仕事ですね(笑)
質問
今回WSUSの管理をすることになったのですが、恥ずかしながら
これまで全て自動承認で修正パッチを適用しておりました。
今まではそれで特に問題が発生しなかったのですが、
今回のIE7自動更新騒動を発端に、自動承認を止めて、管理者が手動承認して
適用することになりました。
具体的には以下のような基準で考えています。
■サービスパック、バージョンアップに相当するもの
1) 全ての業務アプリケーションの動作に影響がないことが、
各業務アプリケーション提供ベンダーにより確認されている。
2) 適用について上長の承認が得られている。
■緊急セキュリティパッチ、月例の修正パッチ
1) リリース後、最低1週間を経過している。
2) 1週間経過後も、当該の修正パッチに一般的な問題が認められない。
こんな感じで考えているのですが、
「1週間経過後も、当該の修正パッチに一般的な問題が認められない」というのを
判断する情報ってどうやったら得られるのかで固まってしまいました。
普通に考えるとMicrosoftの当該修正パッチのサイトを確認するのが適当な気がするのですが、
もしかして、そういった不具合情報が集まるサイトがどこかにあったりするのは?と思い投稿しました。
何か情報、またはアドバイスいただけると助かります。