“随着AI加速普及，安全威胁可能进一步升级并扩散，因此让操作系统环境始终保持最新状态变得更为重要。”

Red Hat韩国执行董事Choi Won-young表示，安全加固应从操作系统层开始，首要任务是尽量避免操作系统长期暴露在漏洞风险之下。企业需要持续推进操作系统补丁更新，但现实中仍有不少公司未能做到这一点。他强调，企业应持续降低操作系统层面的漏洞风险。

从趋势来看，CVE数量仍在不断攀升。Red Hat表示，自1999年首次统计的894项增至2024年的40297项，漏洞数量大幅增加；与此同时，被攻击者实际利用的比例也在上升，而企业在漏洞管理上的应对仍显不足。

对企业IT团队而言，识别和修复漏洞本身就是一项高成本工作，补丁延后、长期搁置的情况并不少见。无论是使用Linux免费版本的机构，还是通过付费订阅获得技术支持的企业，都可能在补丁管理上存在薄弱环节。

Choi Won-young指出，补丁难以及时落地，很多时候并非单纯的技术问题，而是流程和组织文化共同作用的结果。例如，一线团队往往倾向于尽量不动生产环境服务器，实务人员担心补丁责任落到个人，管理层也可能出于规避服务故障责任的考虑而倾向维持现状。基于这一现实，Red Hat正从产品和服务层面帮助企业降低操作系统补丁实施门槛。

首先是基于内核热补丁技术的kpatch。Choi Won-young表示，借助kpatch，企业可以在无需重启的情况下部署安全补丁，在紧急漏洞出现时也能在不中断服务的前提下快速处置。对于尚无修复方案的零日漏洞，Red Hat也会尽可能在3天内提供补丁。

Red Hat介绍称，其漏洞响应大致分为四个步骤：调查问题、识别受影响产品、评估严重程度，以及确定最终处置结果。客户在漏洞发生时，也可以直接通过Red Hat官网查看相关说明和细节。

在运维管理层面，企业可将主机接入用于管理RHEL服务器的Red Hat Satellite，再借助系统管理工具Lightspeed分析漏洞，生成处置所需的Playbook并执行补丁作业，最终形成报告。通过持续重复这一流程，企业可逐步提升整体安全水平。

在操作系统版本升级方面，Leapp可提供分阶段升级支持。Choi Won-young表示，企业可从CentOS 7.9开始，逐步升级至RHEL 7.9、8.10、9.7和10.1。

另一项值得关注的方案是RHEL镜像模式。该模式可像管理容器镜像一样构建、分发和管理操作系统。

Choi Won-young表示，在这一模式下，系统会被封装为固定镜像，从源头减少未经授权的变更；即便拥有Root权限，用户也无法随意修改镜像。系统通过A/B方式在后台完成更新，重启后即可启用新版本；一旦出现问题，也可以立即回滚至旧版本。

在RHEL 10中，Red Hat还新增了软重启功能。该功能可跳过硬件初始化和内核启动阶段，仅切换用户空间环境，从而将物理服务器停机时间压缩到数秒之内。

Choi Won-young表示，结合镜像模式与软重启功能，企业可以在尽量不影响服务的情况下，持续维持经验证的最新操作系统状态。不过，在更新内核或驱动时，仍需按既有方式执行硬重启。