CPU ¿Que parche aplicar BP, PSU, SPU?

Llega la alerta crítica de seguridad de Oracle de cada trimestre , buscas entre la lista de productos afectados y encuentras que tu base de datos se encuentra en riesgo, de forma reactiva accedes a MOS (My Oracle Support) y con ayuda del "Patch Advisor" buscas el parche más reciente para comenzar tu planificación para aplicarlo, "Muy bien hecho, esto me ayudara a ganar el bono" piensas mientras esperas emocionad@ que carguen los parches encontrados para tu versión y comenzar a descargarlo carga la página y sorpresa;

Te encuentras 4 diferentes tipos de parches, para tu mismo release, plataforma e idioma, y peor aún, ninguno de ellos dice:

"Este es el que debes aplicar para el ultimo Security Advisor",

profundizas en la descripción de todos y resulta mucho peor, todos son tan parecidos,

¿Deberé aplicar todos?,

¿Cual es el más sencillo de aplicar?,

¿Cual es la diferencia y porque son tan parecidos?,

¿Alguno de ellos pertenece al Critical Patch Update (CPU) más reciente?, estas y miles de preguntas más te haces mientras un sentimiento de frustración te comienza a invadir.

En este post trataré de explicarte de forma sutil, la diferencia entre estos parches para ayudarte a determinar cuál es el más ideal para aplicar de acuerdo a tu entorno.

Comencemos, de forma trimestral Oracle se encarga de publicar alertas de seguridad críticas para problemas detectados en sus productos, parte de esta publicación hace una invitación para descarga y aplicación de los parches liberados a consecuencia de lo detectado, toda la información relacionada con estas publicaciones de seguridad puedes encontrarla aquí

, naturalmente siempre encontraremos el gestor de base de datos dentro de estas alertas, aunque estas alertas en su mayoría contienen vulnerabilidades de seguridad informática, los parches no solo tratarán estas vulnerabilidades, ya que, también aplicarán para bugs del gestor de base de datos y en su defecto de la infraestructura de grid, por lo que los tipos de parches más importantes que existen son los siguientes:

SPU SECURITY PATCH UPDATE: Parches exclusivos para solución de problemas de seguridad, estos parches son programados para ser liberados cada cierto tiempo y solo atacan temas de vulnerabilidades en cuestión de seguridad informática detectadas (a partir de la versión 12c Oracle ya no libera estos parches de forma independiente de seguridad, ahora los incluye en el PSU o BUNDLE PSU de la versión correspondiente).

PSU PATCH SET UPDATE: En estos parches siempre vienen incluidos los parches de seguridad del último CPU y parches de los bugs más relevantes detectados en el release, estos parches no involucran cambios significativos en el gestor de base de datos ni realizan cambio alguno en el optimizador (el cual siempre que sea modificado tendrá un impacto), los existe exclusivamente para base de datos "DATABASE PATCH SET UPDATE (DB PSU)" o los “GRID PATCH SET UPDATE (GI PSU)” el cual incluye parches de seguridad y bugs para grid y gestor en uno solo (es siempre recomendable descargar e instalar el GI PSU si tenemos el gestor y la infraestructura de grid).

BP PROACTIVE BUNDLE PATHC: Al igual que un PSU, estos parches siempre incluirán los necesario para solventar el ultimo CPU, incluyen también fixes para todos los bugs detectados en el release, incluyen fixes que pueden modificar el optimizador y la pila completa del gestor y se consideran complementarios o superiores a los PSU, en pocas palabras es el tipo de parche más completo que se puede aplicar, ya que contiene a sus dos antecesores (SPU, PSU) y da un plus.

Espero que en este punto te estés preguntando:

¿Porque si existe un BP y de acuerdo a lo leído son más completos, porque liberan los PSU?

Si tal vez así lo parezca pero todo lo que decide hacer Oracle siempre termina teniendo una explicación lógica (o bueno casi todo).

La justificación más sencilla responde a que depende de tu entorno, y nivel de pruebas deseado, si bien aplicar un SPU solventara solo la parte de seguridad de tu gestor , no cubre las bugs del release, mientras que un PSU cubre ambas partes y no solo para base de datos, también incluye a grid, hasta este grado podrías sentirte tranquilo, pero si quisieras una base de datos en estado super optimo y con todos los parches más actualizados, entonces el BP es para tí, aunque déjame decirte que este parche te retará a explotar tus capacidades de análisis y planeación pre y post parche, para que puedas determinar de forma segura si representa o no una afectación para tu entorno.

Pero bueno y . . . ¿Oracle que es lo que recomienda?, si la respuesta no era aún obvia, la aplicación del BP siempre estará entre las best practices de Oracle para los release 12.1.2, ya que como lo mencionamos este parche es tan completo que promete cubrir todos los bugs de seguridad, gestor y grid detectados hasta el momento por muy mínimos que parezcan, para los release 12.1.1 y 11. 2 los PSU, como lo muestra la siguiente tabla:

"Muy bien ahora sé que debo aplicar todos los nuevos BP y dejar de perder el tiempo con los PSU"

, si esto es lo que piensas, déjame decirte que "no es tan fácil vaquer@", algo que resulta mandatorio es seguir una línea base de aplicación de parches, por lo que no podrás mezclar estrategias de ningún tipo, nos casamos con puras aplicaciones de PSU o nos casamos con puro BP, aunque existe un método para cambiar radicalmente de estrategia (lo cual explico más abajo), sería bueno que te respondieras lo siguiente sin importar que estrategia decidas utilizar:

¿Tengo la planificación necesaria para aplicar un parche?

¿Estoy considerando la realización de pruebas de funcionalidad, estrés y performance recomendadas por Oracle para dictaminar si el parche es funcional para mi entorno?

¿Conozco las estrategias necesarias para aplicar un rollback en caso de falla y garantizar que este será exitoso y sin afectación alguna?

Muchas veces la aplicación de un parche se vuelve una actividad rutinaria y procedimental, y aunque a ciencia cierta no requiere de grandes conocimientos su aplicación, si requiere de una correcta gestión de todo el proceso pre, durante y post aplicación del parche, una mala decisión sobre aplicar o no un parche podría tener consecuencias perjudiciales.

Una vez hecho esta especie de advertencia cual película de terror, pasemos a las decisiones sencillas pero seguras:

• Aplicar un PSU está bien, no nos hace menos profesionales o corremos riesgos inminentes, con ellos basta para proteger nuestros entornos y poder tener la tranquilidad que vamos por un camino correcto en la administración de los ambientes.

• Aplicar un BP nos hace parte de las best practices a nivel pro, aunque esto involucre realizar pruebas, más extensas,planificación más detallada y mayor tiempo de análisis, sin duda otorgará resultados valiosos.

¿Como cambio de estrategia?

Si tu ya has estado aplicando PSU o BP y quieres mezclar estas estrategias, no será posible hacerlo de forma transparente, ya que deberás hacer rollback de todos los parches previamente aplicados ya sean BP o PSU, y posteriormente aplicar el nuevo, recuerda que el ultimo parche es un acumulativo de todos los anteriores, por lo que no deberás preocuparte por aplicar nuevamente de los que hiciste rollback.

Recuerda que es rollback de PSU o BP, no de aquellos parches hechos a la medida o de otro tipo que hayas aplicado.

Espero esta entrada te haya sido de gran ayuda para resolver tus dudas sobre las diferencias entre los tipos de parches, si quieres leer más información técnica al respecto el documento Doc ID 1962125.1 es muy completo respecto a este tema.

Mis mejores deseos , saludos.