Im Januar hatte ich in einem Artikel (siehe hier oder hier) mir die quartalsmäßigen Critical Patches von Oracle mit etwas Statistik betrachtet. Nicht mit der Absicht, die Firma Oracle zu verteidigen, sondern den Schlagzeilen in den IT-Gazetten („Monsterpatch“, „Anzahl der Patches auf Rekordniveau“) etwas entgegenzusetzen. Denn genauso wie die Zahl der Patches steigt, steigt auch dann der zahlreichen Zukäufe die Anzahl der Oracle-Produkte.
Vor zwei Tagen hat Oracle die April-Patches veröffentlicht und somit ist es auch Zeit für ein Update der Statistiken.
Wie groß sind die „Critical Patch Updates“ ingesamt?
Im Sommer letzten Jahres wurde zum ersten Mal die 300er-Marke überschritten, aber in den letzten 3 Quartalen waren es jeweils um 250 Security-Fixes, gerechnet über alle Produkte.
Auch wenn die Gesamtzahl der Fixes sehr hoch erscheint, es sind – im Mittel – seit einem Jahr etwa nur 3 Patches pro betroffenem Produkt:
Wie schneidet nun die Datenbank-Software im Vergleich mit den anderen Produkten ab?
Im aktuellen Quartal (mit nur einem neuen Fix, der auch nur die Java Virtual Machine in der Datenbank betrifft) ist die Datenbank-Software natürlich besser als das arithmetische Mittel über alle Produkte.
Gesamtübersicht über die Critical Patch Updates seit 2010
| Jahr | #Security Patches | Veränderung zum Vorquartal | #Produkte | #Patches/ #Produkte | Security Patches für DB |
| 2010.01 | 24 | bis 7/2014 wurden die Produkte in der Patchübersicht anders aufgeführt, daher sind frühere Auflistungen nicht mit den aktuellen Auflistungen vergleichbar | 9 | ||
| 2010.04 | 47 | 96% | 7 | ||
| 2010.07 | 59 | 26% | 6 | ||
| 2010.10 | 86 | 46% | 7 | ||
| 2011.01 | 66 | -23% | 5 | ||
| 2011.04 | 73 | 11% | 6 | ||
| 2011.07 | 78 | 7% | 13 | ||
| 2011.10 | 57 | -27% | 5 | ||
| 2012.01 | 78 | 37% | 2 | ||
| 2012.04 | 88 | 13% | 6 | ||
| 2012.07 | 87 | -1% | 4 | ||
| 2012.10 | 109 | 25% | 5 | ||
| 2013.01 | 86 | -21% | 1 | ||
| 2013.04 | 128 | 49% | 4 | ||
| 2013.07 | 89 | -30% | 6 | ||
| 2013.10 | 127 | 43% | 2 | ||
| 2014.01 | 144 | 13% | 5 | ||
| 2014.04 | 104 | -28% | 2 | ||
| 2014.07 | 113 | 9% | 5 | ||
| 2014.10 | 154 | 36% | 45 | 3,4 | 31 |
| 2015.01 | 169 | 10% | 50 | 3,4 | 8 |
| 2015.04 | 96 | -43% | 43 | 2,2 | 4 |
| 2015.07 | 193 | 101% | 63 | 3,1 | 10 |
| 2015.10 | 153 | -21% | 56 | 2,7 | 7 |
| 2016.01 | 248 | 62% | 51 | 4,9 | 7 |
| 2016.04 | 136 | -45% | 49 | 2,8 | 5 |
| 2016.07 | 276 | 103% | 84 | 3,3 | 9 |
| 2016.10 | 253 | -8% | 76 | 3,3 | 9 |
| 2017.01 | 270 | 7% | 45 | 6,0 | 2 |
| 2017.04 | 300 | 11% | 121 | 2,5 | 2 |
| 2017.07 | 308 | 3% | 97 | 3,2 | 4 |
| 2017.10 | 252 | -18% | 88 | 2,9 | 6 |
| 2018.01 | 233 | -8% | 97 | 2,4 | 5 |
| 2018.04 | 254 | 9% | 115 | 2,2 | 1 |
| Mittelwert | 145,2 | 3,2 | 6,2 | ||
Quelle: https://www.oracle.com/technetwork/topics/security/alerts-086861.html
Links:
- Oracle Critical Patch Updates, Security Alerts and Bulletins: https://www.oracle.com/technetwork/topics/security/alerts-086861.html
- Oracle-Patches: CPU, PSU, SPU, DBBP, RU, RUR, …: https://www.markusdba.de/?p=1312
- Trivadis TVD-CriticalPatchUpdate-Report: https://www.trivadis.com/de/trivadis-toolbox#cpr
