Softwarereus Microsoft stopt met het vooraf delen van informatie over kwetsbaarheden en patches via een openbare maandelijkse update. Daarmee komt na ruim tien jaar tijd een einde aan de bekende opzet van de Patch Tuesday van het bedrijf. Volgens de leverancier is die opzet niet meer van deze tijd en vragen beheerders steeds vaker om patches die specifiek zijn toegesneden op hun organisatie. Critici balen van de nieuwe opzet, laten ze op verschillende fora weten.
Chriz Betz van het Microsoft Security Response Center meldt in een blog dat het softwarebedrijf de strategie rondom de patches heeft gewijzigd. Volgens Betz sluit de nieuwe opzet beter aan bij de huidige dreigingen en de aanpak van kwetsbaarheden. Hij stelt dat klanten steeds vaker vragen om een persoonlijke aanpak van kwetsbaarheden.
De informatie over kwetsbaarheden die maandelijks plaatsvond, wordt dus geschrapt. Critici klagen dat de leverancier extra inkomsten wil genereren door updates voor kwetsbaarheden als betaalde dienst aan te bieden. Er wordt een uitgebreide support-dienst opgezet die klanten van een persoonlijk advies voorziet dat is toegesneden op hun Microsoft-omgeving.
Gratis
Volgens de leverancier kunnen gebruikers echter ook gratis kennis blijven nemen van de patches. Daarvoor moeten ze zich wel eerst registreren. Via de dienst myBulletins kunnen afnemers van Microsoft-software gratis aankondigingen over updates en patches blijven ontvangen. Daar moeten ze aangeven over welke software ze informatie willen ontvangen.
Microsoft licht toe dat het in uitzonderlijke gevallen wel via een algemene update het publiek inlicht over kwetsbaarheden, maar laat die melding afhangen van de omvang van de dreigingen.
Zo, dat is even heel erg verkeerd begrepen en uitgelegd.
“Softwarereus Microsoft stopt met het delen van patches voor kwetsbaarheden via een maandelijkse openbare update.”
Update had beter “Notificatie” of “Berichtgeving” kunnen zijn, zeker als je het ook over software updates praat maar dat hier niet bedoeld.
“Daarmee komt na ruim tien jaar tijd een einde aan de bekende Patch Tuesdays van het bedrijf.”
Nee, alleen de *vooraankondiging* van wat er in die Patch Tuesdays gebeurd veranderd.
“Volgens de leverancier is die opzet niet meer van deze tijd en vragen beheerders steeds vaker om patches die specifiek zijn toegesneden op hun organisatie.”
Het gaat niet om patches, maar hoe ze security information tot zich willen krijgen: “obtain security information tailored to their organizations”. Daarbij is het ook raar om een toegesneden (security) software patch te krijgen voor bijvoorbeeld een bug. Lijkt mij onrealistisch om aan iedere klant te vragen hoe ze de bug opgelost willen hebben…
“Critici balen van de nieuwe opzet.”
Bron?
En over alle opmerkingen over betalen voor updates: Nee, daar staat niets over in de blog post van het MSRC. Wel dat de ANS nog wel word aangeboden aan klanten met een premium contract. Voor diegenenen die dat niet hebben en wél informatie willen krijgen over security issues (bijvoorbeeld die in toekomstige fixes worden opgelost) kunnen gebruik maken van myBulletins waarvoor je moet inloggen met een gratis Microsoft Account. Dan kan je namelijk aangeven van welke producten je informatie krijgt. Heb je bijvoorbeeld geen SharePoint, dan boeit het jouw organisatie niet of daar een issue in zit. Dat zou dan alleen ruis veroorzaken. Dát is wel een voordeel. En kost niets extra’s.
Dus het valt allemaal wel mee. Toch?
Hoewel het misschien nu alleen nog om de aankondigingen gaat, kan dit ook gezien worden als opmaat naar een compleet nieuwe wijze van delivery. Microsoft heeft al eerder aangekondigd dat er geen major releases meer zullen komen van hun operating systemen. Stukje bij beetje zal je software geupdate worden en krijg je steeds sneller naast bugfixes ook nieuwe functionaliteit beschikbaar.
Daar hoort natuurlijk ook een ander verdienmodel bij, aangezien mensen geen nieuwe Windows versie meer zullen aanschaffen. Dus kom je automatisch bij een soort abonnement-vorm (ala Office 365) waarmee je je inschrijft voor updates & fixes. Geen abonnement = geen updates meer. Dit bericht ligt wat mij betreft dus in de lijn der verwachtingen. Je kunt er donder op zeggen dat dit slechts het begin is van meer soortgelijke aankondigingen.
Maar ik geloof nooit dat men (Microsoft) deze informatie niet ten gelde blijft maken: De druk op de verplichte gang naar de cloud (in dit geval Microsoft) wordt doorgezet!
Want Microsoft zou haar naam geen “eer aan doen”, wanneer er geen business model aan vastgemaakt kan worden: ik citeer “During the private preview Interflow is free for Microsoft Azure subscribers. Users need an Azure subscription for compute and storage resources, and can get started with an Azure trial subscription at http://azure.microsoft.com/en-us/pricing/free-trial/. During the private preview, there is no fee for the data feeds Microsoft is bringing to Interflow.”
Ik geef toe , wel handig zo’n dashboard, ook te downloaden en uit te pluizen natuurlijk…
Oftewel, als uw als klant van onze software wilt weten wat de gebreken zijn dient u eerst nog meer geld te moeten betalen om hiervan op de hoogte gesteld te worden.
Prima service dus.
Mijns inziens is dit de opmaat voor Windows 10. Daar wordt het model dat je maximaal 30 dagen achter mag lopen met de updates die Microsoft gaat verzorgen.
De Update cycle van microsoft wordt voor Windows 10
– Consumenten elke 30 dagen
– Business max 4 maanden later
Uitzondering voor Medische systemen enz. Het wordt dus een standaard microsoft service en Microsoft neemt het hele Patchen over met een stuk verantwoordelijkheid.
Net als bij Office 365 je krijgt een abonnement en bij blijven in versies is een must.