Patchmanagement is de gedisciplineerde gewoonte om software up-to-date te houden, zodat bekende zwakke plekken zijn gerepareerd voordat iemand ze misbruikt. Wanneer een leverancier een lek ontdekt, brengt die een patch uit. Patchmanagement is alles wat daarna moet gebeuren: opmerken dat de patch er is, hem testen, en hem uitrollen naar elke machine die hem nodig heeft.

Het helpt om het te zien als het onderhoud van een wagenpark. Eén keer een beurt overslaan leidt zelden tot pech, maar sla hem een jaar lang over bij honderd auto’s en storingen worden onvermijdelijk. Met software is het net zo: één ongepatchte server is een bekende, gedocumenteerde ingang, en aanvallers scannen er actief naar. Een groot deel van de ransomware- en malware-incidenten is terug te voeren op een fix die bestond maar nooit werd toegepast.

Het lastige is de balans. Patch je te traag, dan blijf je kwetsbaar; patch je slordig, dan kan een update een systeem stukmaken waar mensen op leunen. Goede praktijk combineert regelmatige vulnerability scanning om te vinden wat ontbreekt met een geteste, herhaalbare manier om wijzigingen uit te rollen.

Het is ook breder dan mensen denken. Een echt systeem is een stapel: het besturingssysteem, de webserver, het framework, tientallen open-source bibliotheken, de plugins. Een lek kan in elk daarvan zitten, en een fix voor één onderdeel helpt niets als je de andere veertig vergeet. Daarom telt een helder overzicht net zo zwaar als het patchen zelf. Wat je niet meer in beeld hebt, kun je ook niet updaten, en juist die bibliotheek waar niemand zich nog van herinnert dat hij erin zit, is degene die je later opbreekt.

Bij TopDevs bouwen we patchen in onze deploymentpijplijnen, zodat updates volgens een voorspelbaar schema verschijnen en kritieke fixes nooit vergeten blijven liggen op een lijstje.