Linux へのコンテンツレスなパッチ適用

V2024.1よりも前は、Security Controls における Linux へのパッチ適用はすべてコンテンツ ベースでした。 Ivanti のエンジニアが脆弱性の修正に必要なファイルを特定してキュレートし、配布可能なコンテンツ ベースのパッチを作成していました。この方法の主なデメリットは、コンテンツ パッケージが作成されるまでの間の遅延があることと、すべての脆弱性に対処できるわけではないことです。

V2024.1からは、Linux へのパッチ適用のための新しい、コンテンツレスな方法が導入されています。 この方法では、お使いの Linux ディストリビューション用のリポジトリが、すべてのパッチ パッケージの直接のソースです。 つまり、すべてのパッケージに即座にアクセスできるため、Security Controls がもたらすパッチ適用の制御性と可視性はそのままに、より効率的で、より完全なパッチ適用の仕組みが得られます。

関連ビデオを見る (02:44)

しばらくの間は、Security Controls を通じて両方の方法を利用できますが、Linux への古いコンテンツ ベースのパッチ適用方法は将来のリリースで除かれることになりますので、コンテンツレスなパッチ適用への移行を今すぐに計画し、実装し始めることをお勧めします。

変更点

主な変更点は次のとおりです。

  • 以前の Linux パッチ適用は Security Controls で名前 [Linux パッチ (コンテンツ ベース)] とアイコン コンテンツ ベースの Linux アイコン を使用して利用できます。
  • 新しいコンテンツレスな Linux パッチ適用には、個別のパッチ スキャン構成はありません。 Linux パッチ タスクが実行されるたびに、不足しているすべてのパッケージとアドバイザリを調べるスキャンが実行されます。 その後、Linux パッチ タスクの一部として、別途配布オプションを指定できます。
  • コンピュータ ビューのグリッドに新しい列が追加され、コンテンツレス Linux の場合はパッケージのソース リポジトリが表示されます。
  • V2024.2では、新しいパッチ構成用の [パッチ グループで配布する] オプションでサポートされていたのは、アドバイザリに関連付けられているパッケージのパッチ適用のみでした。 パッチ グループへのパッケージの追加は V2024.3 でサポートされ、重大度別の配布は V2024.4 でサポートされました。

移行方法

コンテンツレスなパッチ適用を安心して行い、Linux 用のコンテンツ ベースのパッチ適用から移行するには、次の戦略をお勧めします。

  1. [すべてのパッチ] をスキャンするように構成した [Linux コンテンツ ベース パッチ タスク] を使用して、テスト用の Linux コンピュータをスキャンした後、コンピュータ ビューの [正常性] 列を調べます。
  2. 既存のコンテンツ ベースのパッチ タスクを使用してテスト コンピュータにパッチを配布した後、コンピュータ ビューの [正常性] 列を再度調べます。
  3. [Linux パッチ タスク] を含む、[配布] オプションが無効化されたエージェント ポリシーを作成または更新します。
    これにより、新しいコンテンツレス機能を使用してすべてをスキャンするタスクが作成されます。
  4. この新しいポリシーを含むエージェントを、テスト用の Linux コンピュータにインストールします。
    エンジンがインストールされた後、スキャンが自動的に実行されます。
  5. スキャンが完了した後、[正常性] 列を調べます。
    新しい脆弱性が検出されたことがわかります。
  6. 新しいコンテンツレス パッチ タスクで [配布] オプションを有効にし、パッチを再配布します。
  7. 再度、[正常性] 列を調べます。
    脆弱性が修復されています。