如何使用Chef运行安全更新？

自动化软件包更新/升级通常是不明智的，因为如果没有经过充分测试，这显然会破坏应用程序。

解决此问题的一种方法是使用食谱锁定或将仓库保留在指定版本，并在推出到生产环境之前进行彻底的开发测试。

在Amazon Linux上，您可以检索当前状态下yum存储库的唯一网址。因此，您可以在开发中运行更新/升级，找出唯一的网址，然后将其推送到生产环境。这将防止Chef更新到任何比您测试的新软件包更高版本的软件包。

我对Ubuntu和apt-get不太熟悉，但似乎可以通过Pinning或Holding来实现我所说的内容: https://help.ubuntu.com/community/PinningHowto

因此，总结一下，您想要升级/更新一个开发机器，您测试它，找出仓库状态并将所有软件包冻结到这些版本。然后将生产环境的仓库也冻结到这些状态。然后，只需像Draco提到的那样运行'apt-get -y upgrade'即可。

一方面，我同意“自动化软件包更新/升级通常是一个坏主意，因为如果没有经过适当的测试，这显然会破坏应用程序。” 我相信这是学术上的答案。
然而，我的经验是自动加载安全更新很少会引起问题，这应该与错过或延迟关键安全修复的可能性相比较。 （我们从未允许自动重新启动，我想那就是我们划定的界限。）是否执行自动安全更新的决定应基于您所处情况的现实情况。 没有一种适合所有情况的答案。
如果您想运行自动更新，则有几个食谱可用（至少适用于Ubuntu），但不幸的是，似乎没有一个特别更新，这有点讽刺。 这里是一个例子： unattended_upgrades

我只是在自己的配方中执行了execute 'apt-get -y upgrade'。

这里有一个自动化打补丁的食谱可供使用: https://github.com/bflad/chef-auto-patch/。

同时也有一篇关于如何将 Chef 集成到您的补丁流程中的文章： https://www.chef.io/solutions/patch-management/

其主要步骤如下:

• 识别漏洞。
• 测试更新。
• 推广补丁。
• 监控意外副作用。