
F5 改做每月出資安更新:AI 令低中危漏洞都要快手補,企業 IT 要跟上
BIG-IP、NGINX 用戶要預留每月維護窗口
F5 由季度變每月,因為 patch window 縮短咗
F5 今次唔只改公告日曆。官方話,7 月 15 日起會喺每月第三個星期三推出 Hardened Software Release,8 月 19 日會出第一份 Monthly Security Notification,講返前一個月修咗咩漏洞。iThome 報道提到,Oracle 近期亦用每月 Critical Security Patch Update 補季度 CPU;放埋一齊睇,企業軟件供應商開始承認,季度節奏慢過攻擊者同 AI 掃描速度。

圖片:F5
點解低危漏洞都唔可以拖
F5 Chief Product Officer Kunal Anand 嘅講法好直接:最新 AI 模型搵漏洞快咗,仲可以幫手理解利用路徑。呢度要收窄講,F5 冇話 AI 今日可以自動打穿 BIG-IP;佢講緊嘅係攻擊者日後可以快手搵到一堆低中危位,再串成一條有用嘅路。以前 IT team 可能先補 critical,medium 留到季度維護;而家呢個做法風險高咗,因為每個小裂口都有機會變成 exploit chain 嘅材料。
BIG-IP / NGINX 點解值得理
BIG-IP 同 NGINX 企喺好多網站、API、內部 app 前面,做 load balancing、traffic management、WAF、API gateway、access policy 呢啲工夫。F5 自己嘅產品頁都係咁定位:唔只送流量,仲管安全同可用性。呢類設備一出事,影響通常唔係一部 server 壞咁簡單,而係入口層、管理面、API 保護、SSL/TLS 流量處理一齊牽涉。SecurityWeek 早前報道,F5 5 月季度通知一次過處理過 50 多個 BIG-IP、BIG-IQ、NGINX 相關漏洞,呢個量級已經夠說明 patch backlog 唔細。
F5 遲一個月先講細節,有好有壞
有趣位係,F5 唔會即日公開每個 fix 嘅細節。佢會先放 hardened release,隔一個月先喺安全通知講前一個月補過咩;如果係緊急漏洞,先另出 security alert。呢個做法講得通,因為太快公開細節,攻擊者可能會即刻跟住搵位打。但係對客戶嚟講,少咗細節就代表 patch decision 唔可以再靠 CVSS 分數先慢慢排,差唔多每個 hardened release 都要當高優先次序處理。
IT team 要改嘅唔止係 calendar
辛苦位落喺維護流程本身:每月多一封 email 反而小事,版本盤點、測試、rollback 同維護窗口先至耗人手。用緊 F5 嘅公司,第一步係盤點 BIG-IP、BIG-IQ、F5OS、NGINX 版本同 exposure,特別係 management interface 有冇喺唔應該出現嘅網段曝光。跟住要預留每月 maintenance window,最好用 Ansible 或者 automation 做 staging、backup、rollback 同 health check。中小企、電商、SaaS、學校同機構 IT team 最易卡喺「冇人手測更新」呢關,但呢次變化其實迫大家面對一件事:季度 patch 已經唔夠貼身。
供應商快咗,客戶都要跟上
F5 今次改法,至少講清楚咗一件事:AI 幫到防守者搵洞,攻擊者一樣會用。問題係供應商可以每月出 fix,客戶未必每月有勇氣上 production。下一步要睇 F5 嘅 hardened release 會唔會真係穩,release note 會畀到幾多可操作資料,仲有自動化升級工具追唔追得上。用開 F5 / NGINX 做入口層嘅 team,而家應該改 patch 節奏:由「等季度」變做「每月檢查、快測快上」。
參考來源
- iThome — F5資安公告發布週期將從每季改為每月,理由是頂尖AI模型大幅提高低中風險漏洞串連利用的能力 — original report
- F5: A faster release cadence: What's changing at F5, and what you need to do — F5 官方說明,確認每月第三個星期三、7 月 15 日、8 月 19 日、安全通知延遲同低中危漏洞串連講法。
- F5: Securing our code with frontier AI: What F5 built and learned — F5 官方背景,講佢點用 frontier AI 掃描自家 code,同模型能力點樣影響漏洞發現。
- F5: Providing Predictability with Quarterly Security Notifications — F5 2021 年改 quarterly notification 嘅官方背景,用嚟對照今次改做每月節奏。
- Oracle Critical Security Patch Update Advisory - June 2026 — Oracle 官方 CSPU,確認每月 security patch 同 CSPU 補季度 CPU 嘅安排。
- F5 BIG-IP Application Delivery and Security Services — F5 官方產品頁,確認 BIG-IP 涉及 load balancing、traffic management、app/API security。
- SecurityWeek: F5 Patches Over 50 Vulnerabilities — 補充 F5 5 月季度通知一次過處理 50 多個漏洞,涉及 BIG-IP、BIG-IQ、NGINX。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







