最近，中國(guó)最大的數(shù)據(jù)庫(kù)技術(shù)社區(qū)發(fā)起了一項(xiàng)有趣的調(diào)查，“有多少DBA會(huì)給數(shù)據(jù)庫(kù)打補(bǔ)丁?”，調(diào)查結(jié)果令人擔(dān)憂，同時(shí)也折射出Oracle數(shù)據(jù)庫(kù)“安全補(bǔ)丁”本身的危害。

　　調(diào)查顯示，從來(lái)不打補(bǔ)丁的用戶高達(dá)35.71%,偶爾打一次補(bǔ)丁的用戶為57.14%,這2項(xiàng)的數(shù)據(jù)加起來(lái)已經(jīng)超過(guò)90%，根據(jù)Oracle補(bǔ)丁發(fā)布周期，每季度打一次補(bǔ)丁的用戶占7.14%。

　　整個(gè)調(diào)查情況和國(guó)外DBA的情形比較相似，大部分DBA都疏于數(shù)據(jù)庫(kù)的補(bǔ)丁的更新，對(duì)此可能引發(fā)的安全問(wèn)題認(rèn)識(shí)不足。

　　據(jù)了解，以下2種情況可能會(huì)促使用戶及時(shí)安裝補(bǔ)丁，一是Oracle官方發(fā)布級(jí)別較高、比較嚴(yán)重的安全警告;二是數(shù)據(jù)庫(kù)運(yùn)行已經(jīng)受到未及時(shí)安裝補(bǔ)丁的影響，否則，一般的補(bǔ)丁更新信息吸引不了DBA的注意。

　　網(wǎng)友flybuffer在討論貼中說(shuō)道，如果是內(nèi)網(wǎng)數(shù)據(jù)庫(kù)，一般不隨便打補(bǔ)丁，除非確實(shí)發(fā)現(xiàn)系統(tǒng)漏洞已經(jīng)影響了數(shù)據(jù)庫(kù)的運(yùn)行，反正我們單位的數(shù)據(jù)庫(kù)從來(lái)沒(méi)打過(guò)補(bǔ)丁

　　另外，Oracle補(bǔ)丁本身對(duì)生產(chǎn)數(shù)據(jù)庫(kù)存在安全威脅也是DBA不愿更新補(bǔ)丁的重要因素，參與調(diào)查的一位DBA 告訴記者，“以前有一次打了補(bǔ)丁，把開(kāi)發(fā)庫(kù)弄的有點(diǎn)小問(wèn)題，很不爽，還好只是開(kāi)發(fā)庫(kù)。所以，我一般只是在數(shù)據(jù)庫(kù)安裝以前，我會(huì)打上所有的補(bǔ)丁。一旦投入開(kāi)發(fā)或者生產(chǎn)運(yùn)營(yíng)，就很少再動(dòng)了?！?/P>

　　據(jù)了解，大部分DBA都無(wú)法承擔(dān)更新補(bǔ)丁后的繁重測(cè)試工作，嚴(yán)格來(lái)說(shuō)，數(shù)據(jù)庫(kù)安裝補(bǔ)丁后，要經(jīng)過(guò)周密的測(cè)試才能上線運(yùn)營(yíng)，即便如此，某個(gè)產(chǎn)生的潛在問(wèn)題也有可能不能及時(shí)發(fā)現(xiàn)，從而對(duì)生產(chǎn)數(shù)據(jù)庫(kù)產(chǎn)生較大影響。凡此種種，這些問(wèn)題所帶來(lái)的時(shí)間成本，風(fēng)險(xiǎn)成本對(duì)DBA來(lái)說(shuō)都顯得太大。

　　Oracle的安全補(bǔ)丁的獲取

　　事實(shí)上，還有龐大的一群人，他們不打補(bǔ)丁是因?yàn)闊o(wú)法正常獲取這些數(shù)據(jù)庫(kù)BUG修復(fù)軟件。要知道，用戶必須有Metalink賬號(hào)才能下載安全補(bǔ)丁，如果你沒(méi)有購(gòu)買昂貴的服務(wù)，你根本無(wú)法獲取這些更新。

　　這是一個(gè)奇怪的邏輯，你花錢買了一個(gè)有缺陷的產(chǎn)品，如果廠商修補(bǔ)了這個(gè)缺陷，你需要再去花錢購(gòu)買修復(fù)缺陷的方法。

　　據(jù)了解，根據(jù)你的許可協(xié)議和Oracle支持級(jí)別，你每年可能需要向Oracle支付上萬(wàn)美元的技術(shù)支持費(fèi)用，許多經(jīng)理都誤解了Oracle技術(shù)支持的范圍，Oracle技術(shù)支持究竟包括什么，不包括什么，很多人還沒(méi)有弄清楚。

　　Oracle提供了不同范圍的支持，從現(xiàn)場(chǎng)Oracle支持(金牌支持)到稍微差一點(diǎn)的銀牌支持，再到銅牌支持，“金、銀、銅”級(jí)別的支持都屬于“金屬”級(jí)別支持，都是需要訪問(wèn)Oracle MetaLink的。

　　MetaLink提供的支持包括三個(gè)領(lǐng)域：

　　基本的診斷：幫助解釋錯(cuò)誤代碼和轉(zhuǎn)儲(chǔ)文件。

　　Bug解決：Oracle軟件工程師一起幫助修復(fù)Bug。

　　補(bǔ)救措施：協(xié)助定位工作區(qū)或打上未知問(wèn)題的補(bǔ)丁。

　　這個(gè)“支持”不包括其它的支持服務(wù)，如打補(bǔ)丁、定制軟件或手把手教初級(jí)DBA，當(dāng)然Oracle也不提供遠(yuǎn)程咨詢服務(wù)，如果你需要他們的遠(yuǎn)程咨詢服務(wù)費(fèi)用每小時(shí)不低于500美元，有些專家認(rèn)為Oracle是故意提高咨詢服務(wù)的報(bào)價(jià)，這樣可以避免有些客戶過(guò)分依賴Oracle技術(shù)支持，而不雇傭自己的全職 DBA。

　　更要命的是，許多購(gòu)買了技術(shù)支持服務(wù)的客戶，對(duì)Oracle技術(shù)支持并不滿意，Oracle技術(shù)支持的價(jià)值早已經(jīng)在國(guó)內(nèi)外廣受質(zhì)疑。因此大量的企業(yè)都丟掉了Oracle廠家技術(shù)支持服務(wù)，更傾向于尋找專家技術(shù)支持，但是，當(dāng)你終止Oracle支持時(shí)，就失去了獲得補(bǔ)丁和升級(jí)的權(quán)利，一個(gè)怪圈就這樣產(chǎn)生了。

　　不知是否有人統(tǒng)計(jì)過(guò)，全球企業(yè)因其Oracle數(shù)據(jù)庫(kù)沒(méi)有按時(shí)更新補(bǔ)丁所帶來(lái)的損失究竟有多少?而這些情況，是否能夠引起Oracle服務(wù)部門的深思?