Ciekawy standard związany z utrzymaniem aplikacji

Koalicja dużych dostawców technologii, w tym Cisco, Microsoft, Dell, IBM, Oracle i Red Hat, opublikowała projekt procedury „OpenEoX”. Producenci chcą ujednolicić sposób, w jaki firmy ogłaszają, kiedy produkty przestaną otrzymywać poprawki zabezpieczeń lub jakąkolwiek inną formę wsparcia.

Autor: Kapitan Hack Data dodania: 12 maj 2025 07:12 4 min czytania

Projekt standardu został opublikowany przez organ normalizacyjny OASIS, który dodatkowo uzasadnia podjęte starania. Twierdzi, że dzisiejsze powiadomienia o końcu cyklu życia są rozproszone, niespójnie sformułowane i trudne do śledzenia, co powoduje poważne problemy dla organizacji korzystających z przestarzałego oprogramowania lub sprzętu, a jednocześnie podnosi poziom ryzyka związanego z bezpieczeństwem.

Projekt pojawia się pośród powszechnych obaw, że przestarzałe lub nieobsługiwane systemy po cichu pogłębiają zagrożenia cyberbezpieczeństwa w organizacjach, szczególnie gdy systemy bez wsparcia są osadzone w złożonych łańcuchach dostaw oprogramowania lub infrastrukturze przemysłowej.

Bez ujednoliconego sposobu śledzenia harmonogramów wsparcia zespoły ds. bezpieczeństwa często mają trudności ze śledzeniem, które systemy otrzymują krytyczne poprawki.

Opublikowany przez Komitet Techniczny OpenEoX dokument na blisko trzydziestu stronach prezentuje ramy, które miałyby stać się uniwersalnym czytelnym formatem powiadamiania użytkowników, gdy ich produkty nie są już obsługiwane i stają się potencjalnie podatne na ataki.

Model OpenEoX proponuje zlikwidowanie tych luk poprzez zdefiniowanie współdzielonego formatu danych, który można zintegrować z SBOM (Software Bill of Materials), poradami dotyczącymi bezpieczeństwa i innymi narzędziami ekosystemu.

Definiuje cztery jednolite punkty kontrolne cyklu życia: Ogólna dostępność (pierwsza data wysyłki), Koniec sprzedaży (ostatni dzień, w którym można kupić produkt), Koniec wsparcia bezpieczeństwa (ostatni dzień, w którym dostawca wydaje poprawki) i Koniec cyklu życia (ostateczna data dla jakiejkolwiek formy wsparcia dostawcy), wszystkie opublikowane w formacie czytelnym maszynowo.

Celem jest zmniejszenie obciążenia dostawców, a jednocześnie umożliwienie klientom, regulatorom i audytorom łańcucha dostaw automatyzacji śledzenia i podejmowania decyzji dotyczących ryzyka związanych ze statusem cyklu życia produktu.

Chociaż początkowo skupiono się na oprogramowaniu i sprzęcie, autorzy zauważają, że te same obszary można zastosować do modeli AI.

„Wiedza o tym, kiedy kończy się wsparcie oprogramowania i sprzętu, nie powinna być grą w zgadywanie” – mówi Omar Santos, współprzewodniczący grupy OpenEoX i inżynier oprogramowania w Cisco.

„Skuteczne zarządzanie cyklami życia produktów wymaga współpracy w całym ekosystemie, od komercyjnych dostawców po opiekunów oprogramowania typu open source”.

Inicjatywa jest wciąż na wczesnym etapie, ale koalicja pozycjonuje projekt formatu jako plan szerszej adopcji i przyszłych standardów technicznych. Udział w komitecie OpenEoX jest otwarty dla interesariuszy branżowych, w tym dostawców, badaczy i organów rządowych, wymaga jednak członkostwa w OASIS.

Jako redakcja bardzo wysoko oceniamy tę inicjatywę. Myślę, że również Czytelnicy Kapitana Hacka jej przyklasną. Większość z nas zdaje sobie sprawę, jak w praktyce realizowane jest wsparcie dla sprzętu i systemów, zwłaszcza w dużych organizacjach.