Риск запуска устаревшего программного обеспечения (часть 3)

Опубликовано: 7 Марта, 2023
Риск запуска устаревшего программного обеспечения (часть 3)

  • Риск запуска устаревшего программного обеспечения (часть 4)

Введение

В части 1 этой серии мы рассмотрели статистику, которая показывает, что многие люди и компании все еще используют старые версии программного обеспечения, которое менее безопасно, а в некоторых случаях настолько устарело, что больше не получает обновлений безопасности. Мы также обсудили некоторые последствия использования устаревших операционных систем и приложений для безопасности. Во второй части мы говорили о том, почему, несмотря на все эти последствия для безопасности, люди и предприятия по-прежнему цепляются за прошлое и продолжают использовать программное обеспечение, которое давно устарело.

На этот раз, в части 3, мы рассмотрим концепцию жизненного цикла поддержки программного обеспечения и то, как она влияет на проблему, а также некоторые детали и «подводные камни», касающиеся, в частности, политики жизненного цикла поддержки Microsoft. В Части 4 мы завершим все это, поскольку мы углубимся в некоторые особенности опасностей, присущих конкретным устаревшим операционным системам, приложениям и устройствам.

Жизненный цикл поддержки программного обеспечения

Большинство крупных компаний-разработчиков программного обеспечения публикуют так называемые политики поддержки жизненного цикла и окончания срока службы программного обеспечения, чтобы информировать клиентов и ИТ-специалистов, поддерживающих их продукты, о периодах времени, в течение которых программное обеспечение будет получать поддержку от поставщика. Как правило, это дата, когда продукт перестанет получать периодические обновления, включая все важные исправления безопасности. Жизненный цикл может включать несколько фаз; на этапе основной поддержки обновления и поддержка по телефону могут быть бесплатными, тогда как эти услуги по-прежнему доступны после завершения этапа, но после этой даты за них взимается плата.

Создание и публикация официального жизненного цикла облегчает пользователям продукта планирование и определение того, когда пора задуматься об обновлении. Конечно, это особенно важно для компаний, у которых есть десятки, сотни или даже тысячи компьютеров, на которых установлена определенная версия операционной системы или приложения.

Однако опубликованные жизненные циклы поддержки не всегда высечены на камне. Большинство поставщиков включат пункт в документацию по жизненному циклу, который ясно дает понять, что могут быть исключения из политики, если того требуют обстоятельства. Например, если были обнаружены неисправимые бреши в системе безопасности, из-за которых пользователи могли продолжать использовать определенную версию программного обеспечения с большим риском, поставщик мог прекратить всю поддержку для нее до наступления стандартной даты жизненного цикла и предоставить новую версию для ее замены..

В качестве альтернативы, если конкретная версия программного обеспечения оказывается исключительно популярной, а клиенты сопротивляются обновлению, поставщик программного обеспечения может продлить поддержку после опубликованной даты окончания срока службы, как это сделала Microsoft с Windows XP в ответ на негативную реакцию клиентов. Чаще поставщик расширяет поддержку некоторых «особых» (больших объемов или высокопоставленных) клиентов после прекращения поддержки для остальных из нас. Microsoft заключила специальные контракты с ВМС США, а также с правительством Великобритании и другими клиентами из государственного сектора, чтобы продолжать оказывать поддержку Windows XP для своих пользователей после истечения жизненного цикла поддержки. Однако за такое особое отношение приходится платить. Сообщается, что правительственные учреждения заплатили 9,1 миллиона долларов и 5,5 миллиона фунтов стерлингов соответственно.

Конечно, многие пользователи игнорируют жизненный цикл поддержки. По данным NetMarketShare, по состоянию на конец января 2016 года почти одиннадцать с половиной процентов настольных компьютеров все еще работали под управлением XP, включая многих частных лиц и малые предприятия, у которых нет специальных контрактов на расширенную поддержку.

Множество политик

Проблема с жизненными циклами поддержки программного обеспечения заключается в отсутствии стандартизации от поставщика к поставщику, что может создать головную боль для ИТ-администраторов, которые управляют наиболее распространенными сегодня типами сетей с несколькими ОС. Было время, когда большинство ИТ-отделов состояло либо из Microsoft, либо из UNIX, либо из Apple, но те времена давно прошли. Теперь ожидается, что вы будете поддерживать не только настольные и портативные компьютеры, но и планшеты, смартфоны и даже носимые устройства на самых разных платформах.

Это означает, что вам необходимо ознакомиться с жизненными циклами поддержки каждого отдельного поставщика, а в некоторых случаях жизненный цикл также сильно различается от продукта к продукту.

Жизненный цикл поддержки программного обеспечения Майкрософт

Поскольку это, в конце концов, сайт, посвященный сетевым технологиям , мы можем предположить, что у большинства читателей развернуты по крайней мере некоторые продукты Microsoft, поэтому мы немного подробнее рассмотрим политику компании в отношении жизненного цикла поддержки. Текущая политика Microsoft заключается в том, чтобы обеспечить как минимум десять лет поддержки своих потребительских и корпоративных операционных систем для настольных компьютеров. Это разделено на пять лет «основной» поддержки (или два года после выпуска преемника продукта, в зависимости от того, что дольше, что означает, что пятилетнее обещание является минимумом) и еще пять лет «расширенной» поддержки. Операционные системы Business, Developer и Desktop получают как минимум десять лет онлайн-поддержки (самопомощь).

Потребительское программное обеспечение получает пятилетнюю основную поддержку, но не расширенную поддержку. Сюда не входят операционные системы для настольных ПК, такие как Windows, даже потребительская версия, которая подпадает под десятилетний минимум. Сюда также не входят игры для Xbox, на которые вообще не распространяется политика жизненного цикла поддержки.

Некоторые люди могут быть немного сбиты с толку относительно того, что именно входит в каждую фазу жизненного цикла поддержки, а что нет. Хорошей и наиболее актуальной для читателей Windowsecurity.com новостью является то, что обновления безопасности включены в обе фазы на протяжении всего десятилетнего жизненного цикла продуктов Microsoft. С другой стороны, изменения в дизайне и функциях продукта доступны только на пятилетнем этапе основной поддержки. Бесплатная поддержка включена в программу лицензирования в течение первых пяти лет, и за нее не взимается плата. Поддержка, не связанная с безопасностью, включена для всех на основном этапе, но когда продукт переходит в расширенную поддержку после пяти лет, он доступен только для тех компаний с планами поддержки уровня Premier, а не для потребительских ОС для настольных ПК. Расширенную поддержку исправлений можно приобрести, чтобы получать обновления, не связанные с безопасностью, после окончания основного этапа. Вы также можете приобрести поддержку с оплатой по каждому инциденту в течение продленного периода поддержки.

Текущая политика жизненного цикла поддержки Майкрософт вступила в силу еще в 2002 г. и была пересмотрена в 2004 г. Существуют отдельные политики жизненного цикла поддержки для онлайн-служб Майкрософт и потребительских аппаратных продуктов, производимых корпорацией Майкрософт. Специальные соглашения о поддержке, такие как широко разрекламированные соглашения, заключенные с государственными учреждениями, называются «специальными отношениями поддержки» и предлагаются по усмотрению Microsoft.

Предостережения, которые следует учитывать

А теперь небольшая «подводная лоза», о которой многие могут не знать: хотя Microsoft обычно предоставляет стандартный 5-летний основной/5-летний расширенный жизненный цикл для своего программного обеспечения, в политике существует различие между «основными» и «второстепенными» продуктами. «Второстепенный» продукт — это тот, который в основном является переработкой основного продукта. Например, Windows Server 2008 и 2012, а также Windows 8 классифицируются как основные продукты. Windows Server 2008 R2, 2012 R2 и Windows 8.1 будут считаться второстепенными выпусками этих основных продуктов. Загвоздка в том, что второстепенный продукт считается для целей жизненного цикла поддержки таким же, как и основной продукт. На практике это означает, что эти второстепенные продукты могут не получить все десять лет поддержки. Когда заканчивается поддержка основного продукта, прекращается и поддержка второстепенных продуктов, даже если они были выпущены спустя годы.

Еще одна «загвоздка» в отношении политики жизненного цикла поддержки заключается в том, что для получения обновлений безопасности и технической поддержки в течение обещанных периодов вам необходимо выполнить обновление до последнего пакета обновлений в течение определенного периода времени. Как правило, Microsoft продолжает поддерживать продукт с установленным предыдущим пакетом обновления в течение одного или двух лет после выпуска нового пакета обновления. По истечении этого времени, если вы все еще используете предыдущий пакет обновления (или не используете пакет обновления), вы больше не можете получать обновления безопасности и другие обновления и другую поддержку для вашего программного обеспечения. Как и в случае с «второстепенными» продуктами, пакеты обновлений не считаются новыми продуктами с собственным жизненным циклом, и когда заканчивается период поддержки исходного продукта, прекращается поддержка всех пакетов обновлений, независимо от того, как давно они были выпущены.

Резюме

В этой третьей части нашей серии статей о рисках использования устаревшего программного обеспечения мы более подробно рассмотрели жизненный цикл поддержки программного обеспечения, который публикуется большинством основных поставщиков операционных систем и приложений, и подробно изучили политику жизненного цикла поддержки Microsoft и некоторые подробности. там, о котором вам нужно знать. В следующий раз, в части 4, мы рассмотрим некоторые сценарии использования и важные последствия из реальной жизни, которые могут возникнуть в результате продолжения использования определенных устаревших технологий на рабочем месте. Это завершит серию из четырех частей, так что обязательно присоединяйтесь к нам.

  • Риск запуска устаревшего программного обеспечения (часть 4)
Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023