补丁管理-- KPI仪表板

Question

伙计们，再见，

我希望构建一个集中化的仪表板来跟踪我们组织的补丁管理KPI，包括工作站(Windows)和服务器(Linux/Windows)。

基本上，我主要是希望看到端点的百分比不符合最新的补丁。

我们目前正在使用SCCM/WSUS (Windows)和Redhat卫星(Linux)。

对我如何做到这一点有什么想法吗？

Answer 1

对于您的Linux系统，简单的回答是:反对RHN 卫星API。

更长期的答案是，这在很大程度上取决于您如何在卫星中实现发布管理，以及您的工作流程与Errata (用于bug修复和安全更新的Red术语)有关。

如果您的组织遵循了复制默认通道的常规做法，您的系统将被订阅。除非您实际管理Errata，否则它们不会自动出现在克隆通道中。该系统将出现完全补丁，满足您的KPI顺便说一句，而实际上，可能有可用的补丁，只是看不见。

在这方面，Red可能已经发布了一个Erratum来解决安全问题，但是它并没有在内部发布，因此无法部署。据我所知，如果将Erratum释放到所有克隆通道中，您无法报告有多少系统会受到影响。

第二件事是，您可能应该关注应用/缺失的Errata，而不是RPM包，原因有多种：

• Errata分为3类:产品增强、错误修复和安全性更新(级别为“中度”、“重要”和“关键”)，您需要将相应的严重性级别放在报告中
• Errata可以由多个RPM包组成。
• 从安全的角度来看，您希望看到这样和那样的脆弱性被寻址，而不是在RHEL 5上的补丁号X和RHEL 6上的版本Y上。

API有两种方法：

• Errata.listAffectedSystems：返回受错误信息影响的系统列表，并提供咨询名称。
• System.getRelevantErrata：返回与系统相关的所有错误的列表。