在接到了甲骨文10月份发布的重要补丁更新一个星期之后，数据库管理员对甲骨文的补丁公告给出了不同的评估结果。

　　甲骨文在最新的安全更新中修复了101个安全漏洞。这次最新的安全更新还包括一个新的和改进的安全公告，详细介绍了安全漏洞的数量及其严重性。

　　SearchSecurity.com网站最近几天采访的一些数据库管理员对于这种新的安全公告格式提出了不同的看法。有些人说，这种格式让使用补丁更加方便。有些人说，这种改变没有什么区别，或者区别很小。

　　总的来说，一半的受访者表示，甲骨文在改善安全进程方面还有很长的路要走。

　　喜达屋酒店及度假村国际集团数据库工程经理Arup Nanda说，遗憾的是，甲骨文的安全漏洞多数是由英国的下一代安全软件公司和德国的Red-Database-Security GmbH公司等外部的公司发现的。当这些公司把问题反映给甲骨文之后，甲骨文发布补丁所用的时间太长了。

　　Nanda在电子邮件采访中说，某些安全漏洞太严重了，人们希望在几天之内得到一个解决方案。但是，他们用了几个月的时间，或者在利用安全漏洞的代码在互联网上出现一段时间之后才发布补丁。因此，甲骨文应该增强其修复安全漏洞的流程。

　　分析新的安全公告

　　Nanda是对新的安全公告印象不深刻的人员之一。他说，初看起来，这个安全公告同以前的CPU安全公告没有区别或者区别很小。印度的Perpetual技术公司是一家向内部没有数据库管理员的公司提供服务的公司。该公司的一位甲骨文数据库管理员Chris Ruel说，他看不出新的安全公告与上一次发布的安全公告有什么不同。

　　Ruel说，一般来说，我不太注意这个安全公告。这些补丁发布之后，我仅仅是应用这些补丁。我阅读如何使用这些补丁的技术细节。对于我来说，它们只是必须要修复的安全漏洞。因此，我不在意所有这些安全漏洞。我不能告诉你这个安全公告与上一次有什么不同。

　　但是，其他的数据库管理员说，他们没有注意到这些变化。他们是有帮助的。为美国地理调查服务的数据库管理员Brian Peasland说，他喜欢新的安全公告在页面上面说明安全漏洞数量的做法。

　　Peasland在电子邮件采访中表示，安全公告的这个部分更清晰，让我能够更容易找到适合我的具体版本和平台的补丁。在这个安全公告发布之前，一个人必须要用鼠标点击Metalink提示，然后点击多次鼠标之后才能找到要下载的补丁号码。我的意见是，2006年10月的CPU安全公告比以前更清楚了。

　　甲骨文数据库顾问和“Life After Coffee”博客的作者Jon Emmons说，他还发现这个安全公告的改变是有帮助的。

　　Emmons在电子邮件中说，这个CPU安全公告的最有价值的新功能也许就是这个公告摘要。这些公告列表是有很高价值的摘要。我们要向我们的老板解释我们为什么需要使用这些补丁。现在，甲骨文告诉我们如何使用这些补丁。

　　长期的补丁过程

　　这个数据库管理员称，重要的是让一个CPU安全公告明确地说明安全漏洞的性质和受到影响的具体产品，因为安全公告越难分析，使用补丁的时间过程就越长。这个应用过程需要几个小时的测试和系统关机时间。

　　Nanda说，使用补丁的实际任务并不是很耗费时间，通常需要30分钟。但是，使用补丁之前的测试需要很长的时间。如果安全公告的细节模糊不清，测试的时间就很长。在计划关机时间的时候也有问题。

　　Nanda说，要使用这些补丁，你必须要关闭这个数据库。这个任务说起来容易做起来难。即使完成了测试，这种情况也让你很难找到使用这个补丁的时间窗。

　　作为美国地理调查的承包商，Peasland说，他被要求在甲骨文发布补丁一个月之后对所有的系统使用补丁。他一般在7至10天之内把补丁用于开发和测试系统，然后对这些系统进行一个星期的监视以保证这个补丁不破坏其它的应用程序。这是一个严格的时间安排。这个信息越清晰，这个过程就越快。

　　Emmons说，如果一家公司的甲骨文系统很简单和很少使用，数据库管理员可以计划关闭时间，让系统关机一个小时或者两个小时并且进行备份，然后再恢复运行。但是，大多数公司的情况不是如此。

　　他说，大型甲骨文部门将在测试环境中安装CPU补丁，并且测试它们产品的重要功能。如果发现新的错误，他们必须要确定甲骨文是否有绕过漏洞的措施，或者是否需要本地提供绕过漏洞的措施。这些绕过措施需要几分钟或几个月的时间。

　　关于甲骨文安全努力的结论

　　总的来说，接受采访的数据库管理员有一半都认为甲骨文为了使这些补丁程序更简单已经尽了更多的努力。

　　Peasland说，Pete Finnigan等甲骨文安全专家经常通知甲骨文有关其产品中的安全漏洞，只是没有采取行动。甲骨文让我们购买它的产品为我们公司有价值的资产(也就是数据)服务。因此，甲骨文必须采取合适的和及时的措施保证企业的资产受到应得的保护。

　　Peasland说，在这方面，甲骨文没有像过去那样有一个已知的安全漏洞存在一年以上。

　　Emmons说，甲骨文每季度补丁程序的有利方面是管理员知道他们什么时候要进行更新和围绕这个更新做一些计划。这个不利的方面是，刚刚发布一个补丁立即就发现一个安全漏洞，这个漏洞在每个季度发布安全补丁之间的三个月的时间里都不能修复。

　　Emmons说，甲骨文非常善于共享绕过漏洞的措施，以便在发布下一个CPU安全公告之前缓解高危安全漏洞的风险。它总能满足我的需求。但是，我可以看到一些大企业客户更迫切地使用这些补丁。

　　他在最后的分析中说，这是一个平衡的行动。补丁太多了，你的管理员就没有时间做其它事情。补丁太少了，你就会给客户留下安全漏洞。

　　甲骨文安全计划管理经理John Heimann和负责安全报警的高级经理Darius Wiles今年6月份在接受SearchSecurity.com网站的采访时承认，跟上甲骨文的补丁程序是很困难的。他们承认大量的平台和山一样的源代码容易使补丁出现错误和使安全公告更复杂。