揭秘“周二补丁日”的幕后故事

作者：Dustin Childs（代号：Mando Picker）
职位：安全项目经理
喜好：保护客户、与安全研究人员合作、周二补丁日、波本威士忌、曼陀林
厌恶：以“太难”为借口、遇到困难就放弃、班卓琴

大家好，

我喜欢讲故事。或许在前世，我曾是个吟游诗人，游走于城镇之间讲述罗宾汉和玛丽安的故事；又或许只是因为我年轻时在Tandy 1000上玩了太多《吟游诗人的故事》。无论如何，我享受向人们讲述故事的过程，尤其是那些与我的工作相关的故事。最近，我有机会在BlueHat V10上分享了一些故事，现在这个演讲已上线供全球观看。

我工作中最引人入胜的部分之一是我们日常面临的挑战。这些正是我在BlueHat V10演讲中重点讲述的故事，与大多数古老的吟游诗人故事不同，这些故事都是真实发生的。

当然，故事只有在传达观点时才更具影响力。在我讨论的每个案例研究中，都出现了问题。坦白说，如果我参与其中，就意味着事情已经出了差错。但这并不代表有人犯错，只是事情没有完全按预期发展。

当我最初被邀请做演讲时，我立刻想到了几个想强调的关于MSRC（微软安全响应中心）工作的主题。首先，很少有人理解我们每天处理的范围。我可能会开玩笑说“重启国家”（请看演讲视频），但这其实并不夸张。我的行动和我们的决策具有深远的影响，因此我们非常认真地对待它们。

我还希望强调在任何安全更新中涉及的众多动态部分。除了我做的所有工作，还有开发人员、测试人员、工程师、产品组、沟通人员、安全专家、运营人员、发布合作伙伴、独立安全研究人员等等（抱歉如果漏掉了谁）。我的工作是确保所有这些人员共同努力，以实现解决每个问题和保护客户的共同目标。我不是在寻求同情（尽管我很乐意接受），但大多数人很少理解发布5行新代码跨越22个平台和36种语言所需的大量协调和工作。

那么，我们是如何做到每月第二个星期二完成所有这些工作的呢？嗯，这里有三个“P”真正推动我们成功：

• 热情（Passion） – 我合作的每个人都对安全和保护客户充满热情。坦白说，如果我们不对此充满热情，我们无法在科学界第六糟糕的工作中长久坚持。而且，我们确实曾为了复现问题而购买客户的笔记本电脑（这还不是第一次）。

• 流程（Process） – 我们之前做过这件事。每次我们做的时候，都会学到更多，并将这些经验应用到下一次做得更好。

• 务实主义（Pragmatism） – 虽然我们可能无法每次都100%完美，但我们意识到可以回到前两个“P”来应对出现偏差的情况。发布星期二对我们来说非常重要，但它不是终点；只是一个重要的里程碑。我们积极监控生态系统，确保一切按预期运行。

希望你们喜欢这个演讲和其中的故事。至少，它提供了一个理解我们每个第二个星期二交付的那一小捆喜悦背后内容的框架。如果你碰巧在Skara Brae遇到我，想听更多故事，我们可以去老酒馆，我会为你讲几个故事。甚至可能是我请客。:-]

干杯！
Dustin
MSRC