Compruebe el estado de las CVE. Más información.
¿Está usted a la vanguardia de las técnicas más avanzadas de parcheo de vulnerabilidades? Lea nuestra guía How the Modern SysAdmin Does Patching para averiguarlo.
El "live patching" sin reinicio es importante porque elimina la necesidad de reiniciar un núcleo en ejecución para aplicar un parche de seguridad. Minimiza la necesidad de ventanas de mantenimiento y reduce la presión sobre los equipos informáticos, por lo que es mucho más fácil mantener un régimen de parches hermético.
No es de extrañar que las herramientas de live patching se convirtieran rápidamente en la mejor práctica para aplicar parches de seguridad con el fin de cerrar vulnerabilidades de seguridad, y ahora hay unas cuantas herramientas de la competencia disponibles.
Sin embargo, muchas organizaciones no aplican el parcheado en vivo porque las herramientas de parcheado en vivo suelen cubrir sólo una parte específica de los requisitos del parcheado en vivo, y porque estas herramientas suelen tener un precio elevado.
Ese es el caso de Ksplice. Aunque Ksplice es una herramienta de live patching de nivel empresarial que encaja perfectamente en determinados casos de uso, tiene sus inconvenientes, en particular su elevado precio y su limitada compatibilidad con las distribuciones de Linux.
![]() Oracle KSplice |
![]() KernelCare Enterprise |
|
---|---|---|
Distribuciones compatibles | Oracle Linux, Red Hat y Ubuntu
(Debe ser cliente de Oracle Linux Premier Support. Si el sistema ejecuta RHEL, los clientes deben cambiar a un Red Hat Compatible Kernel (RHCK) proporcionado por Oracle y reiniciar el sistema antes de poder aplicar los parches de Ksplice). |
Oracle Linux 6, 7 y 8, así como Ubuntu, Red Hat, AlmaLinux y muchos otros. |
Arquitecturas | x86-64, arm64 | x86-64, arm64 |
Cobertura | Núcleo Linux y espacio de usuario crítico | Núcleo Linux y espacio de usuario crítico |
Vulnerabilidades parcheadas | Alta y Crítica | Todos |
Vida útil de los parches del núcleo | Prácticamente ilimitado | Prácticamente ilimitado |
Parches personalizados | No | Sí (consúltenos para versiones o configuraciones especiales) |
Parcheado de QEMU | Sí (KVM y Xen) | Sí |
Asistencia 24/7 | Sí, en línea y por teléfono 24 horas al día, 7 días a la semana | Sí, en línea, 24/7/365 |
Distribución de parches | Conjunto de parches único para todos los parches | Conjunto de parches único para todos los parches |
API disponibles | Sí | Sí |
Función de retroceso | Sí, sin reinicio | Sí, sin reinicio |
Disponibilidad para nuevos clientes | Sólo para clientes Oracle Linux Premier Support | Sí, y más de 60 versiones de distribuciones compatibles. |
Descuentos / Periodo de prueba | Prueba gratuita de 30 días, edición de sobremesa gratuita disponible | Prueba gratuita de 30 días |
Tipo de parcheado | Persistente | Persistente |
Complementos | - | Parches personalizados, QEMU y parches críticos para el espacio de usuario |
Coste del Live Patching | Suscripción a Oracle Linux Premier - 2299 $ (1399 $) anuales por sistema | 49,50 $ al año por sistema, se pueden incluir diferentes complementos en la suscripción, precios por volumen disponibles. |
Ksplice Inc. fue, junto con KernelCare, uno de los pioneros de los servicios de "live patching" sin reinicio para el kernel de Linux. Ksplice es la abreviatura de kernel splicing. El servicio fue creado por cuatro estudiantes del MIT en 2009. Al igual que otras soluciones de "live patching" para núcleos Linux, como Red Hat Enterprise Linux, el Uptrack original de Ksplice hacía su magia intercambiando el código actualizado del núcleo con los parches más recientes, sin necesidad de reiniciar toda la instancia del sistema operativo para aplicar el parche.
En 2011, Ksplice experimentó un importante cambio de dirección, ya que fue adquirida por Oracle, y la empresa tenía la intención de utilizarla junto con su propio núcleo Unbreakable Linux, un importante competidor del establecido Red Hat Enterprise Linux (RHEL). Esto tuvo un impacto significativo en la dirección de Ksplice Inc. y, esencialmente, la ató a los clientes de Soporte Premier Linux de Oracle y, como resultado, a los precios de soporte de Oracle.
Fundamentalmente, como servicio de parcheo en vivo y para minimizar las vulnerabilidades de seguridad, Ksplice es estupendo. Tiene una larga y probada historia en la entrega de parches en vivo fiables para el kernel de Linux desde los días de Ksplice Uptrack. Sin embargo, como se mencionó anteriormente, su disponibilidad está limitada a los clientes existentes de los planes de soporte premium de Oracle y está restringido a los sistemas Oracle Linux, Red Hat y Ubuntu. Además, los clientes que ejecutan Red Hat Enterprise Linux deben cambiar a un Red Hat Compatible Kernel (RHCK) proporcionado por Oracle y reiniciar el sistema antes de poder aplicar los parches de Ksplice, lo que supone una limitación importante.
Este servicio funciona bien para quienes utilizan Oracle Linux con soporte Premier. Sin embargo, si operas con una mezcla de otras distribuciones, como CentOS, Debian, AlmaLinux y otras, y no estás dispuesto a pagar por un soporte caro, será mejor que conduzcas el parcheo en vivo del kernel a través de KernelCare Enterprise, que soporta todas estas distribuciones y muchas más.
KSplice kernel patching está disponible exclusivamente con una suscripción a Oracle Linux Premier Support. El elevado precio de suscripción por máquina puede descartar KSplice para algunos tipos de cargas de trabajo. Por otro lado, si sus requisitos le obligan a pagar una suscripción a Oracle Linux Premier, KSplice está incluido en ese paquete. Sin embargo, es importante tener en cuenta que esto no se extiende a otros sistemas basados en Linux que pueda estar utilizando.
KernelCare, por su parte, ofrece precios asequibles por debajo de 60 dólares al año por sistema, lo que supone una fracción del coste anual de 1.399 dólares de Oracle Linux Premier Support. No le obliga a suscribir un costoso contrato de asistencia que no necesita, y puede optar por un precio mensual asequible.
La cobertura de vulnerabilidades también es un factor crucial a la hora de evaluar las implicaciones más amplias de elegir entre Ksplice y KernelCare Enterprise. Ksplice está diseñado para abordar únicamente las CVE (Vulnerabilidades y Exposiciones Comunes) altas y críticas, que son, naturalmente, las máximas prioridades. Sin embargo, Oracle a veces ajusta las puntuaciones de gravedad proporcionadas por la National Vulnerability Database en función de sus propios criterios. Esto significa que Ksplice podría pasar por alto algunas vulnerabilidades que se consideran altas y críticas según otros estándares, pero que podrían plantear riesgos importantes en función de su configuración o requisitos de seguridad específicos.
En cambio, KernelCare proporciona parches activos para todas las vulnerabilidades que los proveedores han abordado con los parches tradicionales. También cubre aquellas vulnerabilidades que los vendedores no han parcheado pero que siguen siendo significativas, afectan a numerosos sistemas o se sabe que son explotadas in the wild.
Las organizaciones que ejecutan sus sistemas en Oracle Linux y están suscritas al Soporte Premier de Oracle pueden seguir beneficiándose de la aplicación de parches en vivo con Ksplice. Para otras, el mayor alcance, la mayor cobertura de vulnerabilidades y el precio significativamente inferior de KernelCare Enterprise probablemente resulten más atractivos.
Si actualmente utiliza el cliente Ksplice, puede pasarse fácilmente a la solución KernelCare Enterprise; basta con ejecutar un script en el sistema y listo. No es más complicado que instalar Uptrack. A continuación, KernelCare Enterprise se encarga de parchear en tiempo real el kernel y muchos otros servicios de la máquina.
Si aún no estás seguro, ¿por qué no lo pruebas? KernelCare está disponible como prueba de 30 días, con todas las funciones y sin compromiso de compra.