All Products
Search
Document Center

CloudOps Orchestration Service:Cara kerja Patch Manager

Last Updated:Jun 03, 2026

Patch Manager memindai patch sistem, memeriksa statusnya, dan menginstal patch yang belum terpasang pada instans Linux dan Windows.

Linux

Patch Manager mendukung berbagai distribusi Linux. Masing-masing menggunakan manajer paket berbeda untuk memindai dan menginstal patch.

Sistem operasi

Manajer paket

CentOS 7, Alibaba Cloud Linux 2, dan Red Hat Enterprise Linux 7

YUM

CentOS Stream 9, Alibaba Cloud Linux 3, Red Hat Enterprise Linux 8 dan 9, Anolis OS 8, AlmaLinux OS 8 dan 9, Rocky Linux 8 dan 9, serta Fedora 37, 38, dan 39

DNF

Ubuntu 16.04, 18.04, 20.04, 22.04, dan 24.04

APT

Debian 11/12

APT

SUSE Linux Enterprise Server (SLES) 12 dan 15, serta openSUSE 15

Zypper

Garis dasar patch pada YUM dan DNF

CentOS, Alibaba Cloud Linux, Red Hat Enterprise Linux, dan Anolis OS menggunakan YUM atau DNF untuk mengelola paket. Keduanya mendukung notifikasi pembaruan yang disimpan dalam file updateinfo.xml di repositori perangkat lunak. Setiap notifikasi pembaruan berisi serangkaian paket yang memperbaiki isu tertentu. Paket-paket ini dianggap sebagai paket keamanan. Jika Anda tidak memilih Include Non-security Updates saat membuat garis dasar patch, hanya paket yang tercantum dalam notifikasi pembaruan yang memenuhi syarat.

Bidang dalam updateinfo.xml:

Parameter

Deskripsi

type

Jenis notifikasi pembaruan. Nilai yang valid:

Security

Bugfix

Enhancement

Recommended

Newpackage

title

Judul notifikasi pembaruan.

severity

Tingkat keparahan. Nilai yang valid:

Critical

Important

Moderate

Low

Unspecified

summary

Deskripsi singkat.

description

Deskripsi detail.

references

Referensi, termasuk informasi CVE dan Bugzilla.

pkglist

Paket RPM terkait.

Patch Manager menyaring notifikasi pembaruan dalam updateinfo.xml berdasarkan aturan garis dasar patch. Sebagai contoh, garis dasar publik CentOS menentukan:

'PatchFilterGroup': [
    {
        'Values': [
            '*'
        ],
        'Key': 'Product'
    },
    {
        'Values': [
            'Security',
            'Bugfix'
        ],
        'Key':'Classification'
    },
    {
        'Values': [
            'Critical',
            'Important'
        ],
        'Key': 'Severity'
    }
]

Aturan ini mencocokkan pembaruan Security atau Bugfix dengan tingkat keparahan Critical atau Important. Perintah yum setara:

yum check-update --security --bugfix --secseverity=Critical,Important

Perintah dnf setara:

dnf  check-update --security --bugfix --secseverity=Critical
dnf  check-update --security --bugfix --secseverity=Important

Jika aturan garis dasar kustom tidak menentukan jenis patch atau tingkat keparahan, perintah setaranya adalah:

yum check-update --security
dnf check-update --security

Setelah penyaringan, Patch Manager menjalankan perintah yum update (API) atau dnf update untuk menginstal patch, lalu merestart instans. Jika Allow Restart diatur ke No, instans tidak akan direstart.

Catatan: Jika kernel live patching diaktifkan pada Alibaba Cloud Linux 2 dan hanya patch live kernel yang diinstal, Patch Manager melewati restart. Ikhtisar Kernel Live Patching.

Garis dasar patch pada APT

Pada Debian dan Ubuntu, garis dasar patch memilih patch berdasarkan bidang Priority dan Section dari paket DEB.

Patch Manager memindai dan menginstal patch sebagai berikut:

1. Menjalankan apt update untuk merefresh daftar paket.

2. Mencocokkan paket yang dapat diperbarui dengan garis dasar patch. Jika Include Non-security Updates tidak dipilih, hanya paket dalam repositori keamanan yang memenuhi syarat. Nama repositori keamanan berdasarkan OS:

Debian Server 8: debian-security jessie
Debian Server 9: debian-security stretch
Debian Server 10: debian-security buster
Debian Server 11: debian-security bullseye
Debian Server 12: debian-security bookworm
Ubuntu Server 16.04 LTS: xenial-security
Ubuntu Server 18.04 LTS: bionic-security
Ubuntu Server 20.04 LTS: focal-security
Ubuntu Server 22.04 LTS: jammy-security

Garis dasar publik Debian/Ubuntu mencocokkan paket dengan prioritas Required atau Important:

'PatchFilterGroup': [
    {
        'Values': [
            '*'
        ],
        'Key': 'Product'
    },
    {
        'Values': [
            'Required',
            'Important'
        ],
        'Key': 'Severity'
}

Aturan ini setara dengan:

1. Menjalankan apt list --upgradable untuk menampilkan semua paket yang dapat diperbarui.

2. Menjalankan apt list -a package-name untuk menampilkan semua versi, diurutkan dari terbaru ke terlama.

3. Menjalankan apt show package-name=={Version} untuk memeriksa prioritas dan apakah versi tersebut memenuhi aturan garis dasar.

4. Memverifikasi bahwa versi yang cocok berada di repositori keamanan.

Patch Manager menjalankan perintah apt update (API) untuk menginstal patch yang cocok, lalu merestart instans. Jika Allow Restart diatur ke No, instans tidak akan direstart.

Garis dasar patch pada Zypper

Pada SLES dan openSUSE, Zypper mengelola patch sistem. Jalankan zypper list-patches untuk menampilkan patch yang berlaku. Atribut patch:

status

not needed: Patch tidak diperlukan.

applied: Patch telah terinstal.

need: Patch harus diinstal.

Category

Category

  • security: Memperbaiki kerentanan dan bug keamanan.

  • recommended: Meningkatkan performa, fungsionalitas, atau kompatibilitas.

  • optional: Fitur tambahan atau perbaikan non-kritis.

  • feature: Menambah atau meningkatkan fungsionalitas.

  • document: Pembaruan dokumentasi.

  • yast: Patch manajemen sistem YaST.

Severity

Severity

  • low: Isu atau risiko tingkat rendah.

  • moderate: Isu atau risiko tingkat sedang.

  • important: Isu atau risiko penting.

  • critical: Isu atau risiko kritis.

  • unspecified: Isu atau risiko tidak ditentukan.

Created On

Tanggal pembuatan patch.

Garis dasar patch Zypper menyaring berdasarkan Category dan Severity. Contoh:

"PatchFilterGroup": [
    {
        "Values": [
            "*"
        ],
        "Key": "Product"
    },
    {
        "Values": [
            "security",
            "recommended"
        ],
        "Key": "Classification"
    },
    {
        "Values": [
            "Critical",
            "Important",
            "Moderate"
        ],
        "Key": "Severity"
    }
],

Aturan ini mencocokkan patch security dan recommended dengan tingkat keparahan Critical, Important, atau Moderate.

Windows

Proses pembaruan patch Windows

Saat pemindaian atau instalasi, Patch Manager menghapus pembaruan yang telah digantikan dan hanya menampilkan versi terbaru. Misalnya, jika KB4550961 digantikan oleh KB4556846, hanya KB4556846 yang ditampilkan.

Jika sebuah patch memiliki dependensi, instal terlebih dahulu. Patch yang bergantung baru terdeteksi setelah dependensinya diinstal dan pemindaian ulang dijalankan. Misalnya, KB5005076 bergantung pada KB4566425 — KB5005076 tidak terdeteksi hingga KB4566425 diinstal.

Catatan: Patch Manager hanya mendukung Windows Server 2012 R2, Server 2016, Server 2019, Server 2022, dan Server 2025.