簡単な答えは、はい、セキュリティパッチに関してシステムを最新の状態に保つ必要があります。
セキュリティパッチをどの程度正確に展開するかは、リスクに対する許容度によって異なります。過去にこの質問に答えるために使用したいくつかのオプションは次のとおりです。
実稼働環境を模倣する一連のQAシステムにアップグレードを適用し、すべてのリグレッションテストを実行して、変更によって機能が破損したり、パフォーマンスの問題が発生したりしないようにします。満足したら、アップグレードを実稼働システムに展開します。
1日待って、更新プログラムによって引き起こされる問題について一般からの抗議があるかどうかを確認します。すべてが平和に思える場合は、運用システムをアップグレードします。
すべてのセキュリティパッチが利用可能になり次第、運用システムに適用してください。
私はUbuntuを使用してこれらの3つのアプローチすべてを組み合わせて使用し、長年にわたってオプション3に徐々に移行しました。セキュリティパッチはリリース前に厳しくテストされており、既存の機能を破壊しないように細心の注意を払っています。Ubuntuでサポートされているイメージ内でのアップグレードに問題はありませんでした(EC2上のUbuntuでUbuntu以外のカーネルを使用していたときに問題がありました)。
カーネルをアップグレードすると、変更を適用するために再起動が必要になることに注意してください。
上記の経験と推奨事項は、Ubuntuリリース(11.04など)内のアップグレードにのみ適用されます。新しい Ubuntuリリースへのアップグレードは、はるかに大規模でリスクの高いタスクであり、実稼働システムに展開する前に必ずテストする必要があります。
以下に、RightScaleが発行したばかりの環境でのセキュリティアップグレードの管理方法に関するこのトピックに関する記事を示します。
http://blog.rightscale.com/2011/09/28/security-patching-in-the-rightscale-universe/
apt-get update && apt-get upgrade && apt-get dist-upgrade
。これにより、保留されたパッケージがアップグレードされます。