我经常注意到主板制造商建议不要安装/升级 BIOS 更新,除非您遇到某种问题。警告通常采用以下形式(取自 Supermicro BIOS 下载):
警告!
请不要下载/升级 BIOS/固件,除非您的系统存在与 BIOS/固件相关的问题。刷新错误的 BIOS/固件可能会对系统造成无法修复的损坏。
在任何情况下,Supermicro 均不对因 BIOS/固件更新引起的直接、间接、特殊、偶然或后果性损害负责。
如果制造商提供增强和安全改进,为什么制造商会建议反对自己的 BIOS 更新?例如,此 BIOS 升级解决了几个英特尔 CVE 问题,并且仅包括安全更新。在我看来,只看几个 CVE,确保更新 BIOS 实际上相当重要,尽管用户没有任何“与 BIOS/固件相关的问题”。
这个反对 BIOS 更新的建议是否只是为了减少制造商的责任和支持/保修索赔,以防错误的 BIOS 更新导致设备停止运行?用户应如何根据制造商的建议决定是否安装 BIOS 更新?
BIOS 更新过程可能很复杂,也可能很危险。
如果供应商未在其 bios 更新过程中实施完整性和签名检查,则可能安装错误的 bios(例如,对于不同的产品)或包含病毒、后门或其他问题的 bios。安装错误的 BIOS 可能会导致机器不可逆地变砖,唯一的补救措施是拆下 BIOS 芯片并用有效的芯片替换它。安装一半下载的映像或安装一半的整个映像可能会导致类似的问题,这就是为什么 bios 更新过程经常包含关于在 bios 更新期间不关闭机器的严重警告。
话虽如此,一些供应商确实在其 bios 升级过程中实施了完整性和签名检查,系统不会接受无效的 bios 图像。许多供应商,甚至是台式机,都专门有重复的 BIOS 映像,以便您可以升级其中一个并在升级因任何原因失败时回退到另一个。
因此,您看到的警告表明供应商没有实施基本检查或在机器中有冗余的 bios 作为后备,或者供应商可能没有对其发布的更新进行大量测试。如果您需要将机器置于高度安全的环境中,这样的供应商是不合适的。
我在你引用的内容中没有看到这样的说法。您引用的是仅在实际需要时才安装固件。这种需求可能是由于以前固件的硬件问题,但也可能是由于安全问题或因为需要新固件中的一些新功能。
事实上,在固定安全问题的情况下,我的看法恰恰相反。就像戴尔的这条信息一样
至于如果不需要,为什么不安装固件更新:今天的固件需要涵盖一系列配置广泛的系统,有时只针对少数客户。考虑到硬件级别固件对系统行为的影响有多深,更新可能会破坏某些特定配置或使其不稳定。并非所有内容都可以在之前进行测试,并且某些配置可能仅因为某些组件依赖于另一个组件的特定未记录行为而起作用 - 而这种未记录的行为可能会因更新而被破坏。
因此,他们的建议基本上是除非实际需要,否则不要触摸正在运行的系统。
你的问题的标题是错误的,表明你误解了你所读的内容。
您问题的标题是“如果 BIOS 更新提供了安全改进,为什么不鼓励它们?”
您引用的内容是“请不要下载/升级 BIOS/固件,除非您的系统存在与 BIOS/固件相关的问题。”
在安全方面,如果有与安全相关的升级,那将被视为与安全相关的问题!