Mění se pravidelné hlášení o chybách, Microsoft zahodil bulletiny

Desítky let vydával Microsoft pravidelné bezpečnostní bulletiny – hlášení o záplatách a aktualizacích chyb a zranitelností. Šlo o systém pohodlný jak pro uživatele, tak především pro IT administrátory, zodpovědné za zabezpečení sítě a chodu informačních technologií ve firmě.

Mění se pravidelné hlášení o chybách, Microsoft zahodil bulletiny


Firma nyní používá jinou verzi každoměsíčního hlášení, uživatelé však nejsou spokojeni.

„Je to jako učit se znovu chodit, běhat a řídit kolo, najednou,“ říká Chris Goettl, produktový manažer firmy Ivanti.

Microsoft mluvil o zrušení bulletinů již měsíce a jednou dokonce jejich zrušení v průběhu odvolil; vypadá to, že nyní jde skutečně o finální konec.

Bulletiny nahrazuje databáze vyhledávatelná databáze dokumentů, přístupných skrze portál Security Updates Guide (SUG). Obsah databáze lze třídit a filtrovat pomocí konkrétního softwaru, data vydání aktualizace, identifikačním CVE zranitelností, číselným nebo KB označením aktualizace, případně podpůrným dokumentem „knowledge base“.

Předchůdcem SUG byly oblíbené bezpečnostní bulletiny, existující minimálně od roku 1998. Microsoft si na nich dal tak záležet, že je mnozí považovali za laťku, které by měli softwaroví vývojáři dosahovat.

Během včerejších aktualizací, které mimo jiné opravily kritickou zero day zranitelnost ve Wordu, se bulletiny již neobjevily.

Goettl, který na posouzení nového systému počkal do konečného zrušení bulletinů, není ze SUG nijak nadšený.

Dříve se mu SUG nechtěl posuzovat, ale viděl v něm jisté „velké možnosti“. Dnes si však není jistý, zda SUG dokáže dodávat stejnou kvantitu a kvalitu informací jako bulletiny bez toho, aby zbytečně zatěžoval IT administrátory.

„Nebyl jsem si tím jistý, ale doufal jsem, že dostaneme stejné podrobnosti,“ řekl k SUGu.

Ačkoli většina dřívějších dokumentů a informací z bulletinů zůstala v SUGu dostupná, problém je v přístupnosti k těmto online dokumentům.

„Tento měsíc Microsoft vyřešil 46 zranitelností,“ vysvětluje Goettl. „Trvalo mi čtyři hodiny to objevit s pomocí SUGu. Minulý měsíc bylo vyřešeno 136 zranitelností a pomocí bulletinů jsem to zjišťoval dvě hodiny. Takže s bulletiny jsem udělal trojnásobné množství práce za poloviční čas.“

Nelichotivý obrázek.

Goettl viní Microsoft z toho, že administrátorům zbytečně přidělává práci a stěžuje jim přístup k informacím. Protože základem databáze jsou CVE – unikátní identifikátory každé zranitelnosti – musel Goettl pro zjištění podrobných informací otevírat velké množství stránek v prohlížeči.

„Dříve jste prostě navštívili bulletin, řekněme pro Windows 10, a tam byly vypsání vyřešené zranitelnosti a související stránky s KB, vše na jednom místě,“ vysvětluje. „Ale tento měsíc pro 26 vyřešených zranitelností jsem musel otevírat 26 webových stránek. Pro každou jednotlivou zranitelnost.“

„To pro mě bylo lehké zklamání.“

Goettl především nerozumí důvodům Microsoftu. „Nevím, jaký to má pro firmu smysl bulletiny rušit,“ popisuje. Goettl vedl webinář o bezpečnostních aktualizacích zdarma – běžná praxe v Ivanti – a mnozí účastníci sdíleli jeho údiv.

„Nikdo nechápal, proč se Microsoft snaží udělat vyhledávání informací těžší.“

Goettl prozatím doufá, že Microsoft bude naslouchat zákazníkům a udělá v SUGu změny. „Je potřeba další práce. Tímhle to nemůže skončit,“ věří.

Mezitím Ivanti vytvořilo, čemu Goettl říká „umělé bulletiny“, které dodávají informace ze SUGu zákazníkům využívajícím systém pro správu aktualizací Shavlik. Goettl potvrdil, že podobné starší systémy pod Ivanti budou dostávat podobné informace.

Úvodní foto: © Microsoft










Komentáře