Managed hosting door True

Microsoft gooit opzet Patch Tuesday om

 

Softwarereus Microsoft stopt met het vooraf delen van informatie over kwetsbaarheden en patches via een openbare maandelijkse update. Daarmee komt na ruim tien jaar tijd een einde aan de bekende opzet van de Patch Tuesday van het bedrijf. Volgens de leverancier is die opzet niet meer van deze tijd en vragen beheerders steeds vaker om patches die specifiek zijn toegesneden op hun organisatie. Critici balen van de nieuwe opzet, laten ze op verschillende fora weten.

Chriz Betz van het Microsoft Security Response Center meldt in een blog dat het softwarebedrijf de strategie rondom de patches heeft gewijzigd. Volgens Betz sluit de nieuwe opzet beter aan bij de huidige dreigingen en de aanpak van kwetsbaarheden. Hij stelt dat klanten steeds vaker vragen om een persoonlijke aanpak van kwetsbaarheden.

De informatie over kwetsbaarheden die maandelijks plaatsvond, wordt dus geschrapt. Critici klagen dat de leverancier extra inkomsten wil genereren door updates voor kwetsbaarheden als betaalde dienst aan te bieden. Er wordt een uitgebreide support-dienst opgezet die klanten van een persoonlijk advies voorziet dat is toegesneden op hun Microsoft-omgeving. 

Gratis

Volgens de leverancier kunnen gebruikers echter ook gratis kennis blijven nemen van de patches. Daarvoor moeten ze zich wel eerst registreren. Via de dienst myBulletins kunnen afnemers van Microsoft-software gratis aankondigingen over updates en patches blijven ontvangen. Daar moeten ze aangeven over welke software ze informatie willen ontvangen.

Microsoft licht toe dat het in uitzonderlijke gevallen wel via een algemene update het publiek inlicht over kwetsbaarheden, maar laat die melding afhangen van de omvang van de dreigingen. 

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5215444). © Jaarbeurs IT Media.

4,5


Lees meer over



Lees ook


 

Reacties

Grappig, dus de consumenten-eindgebruikers mogen zich nu verheugen in een gepersonaliseerde patchronde?
Of slaat dit alleen op de grootverbruikers dus bedrijven en zullen de consumenten nog steeds middels patch-Tuesdays worden bijgewerkt?

Dat blijft een beetje onduidelijk in dit stuk.

REDACTIE:
Dit is volgens mij niet correct: het moet zijn M$ stopt met berichtgeving over kwetsbaarheden, niet met de patches zelf op dinsdag.
Lees s.v.p. de blog nog eens. mvg Robbert

Ze stoppen helemaal niet met de patches. Ze stoppen met de Advance Notification Service (ANS), oftewel de service waarmee de patches aangekondigd worden. Er wordt nergens vermeld dat Update Tuesday gaat stoppen.

Engagement manager Chriz Betz van MS stelt dat klanten steeds vaker vragen om een persoonlijke aanpak van kwetsbaarheden?

Wij hebben niet om deze wijziging gevraagd en kennen niemand die daarom gevraagd heeft. We vinden het van de gekke dat je moet betalen voor de informatie over tekortkomingen in MS producten. Wel kennen we veel klanten die gewoon informatie willen krijgen zonder een hoop gedoe. Ze zijn niet allemaal Premier customers met een Advance Notification Service.
M.i. een stomme zet vanuit een M$ optiek.

Zie http://blogs.technet.com/b/msrc/archive/2015/01/07/evolving-advance-notification-service-ans-in-2015.aspx

Nogmaals@REDACTIE:
Pim schrijft: "Daarmee komt na ruim tien jaar tijd een einde aan de bekende Patch Tuesdays van het bedrijf."

Mijn mening: Stoppen=Einde (En dat staat niet in de blog)
mvg Robbert

Ik ben het met Robbert eens: er staat toch duidelijk op meerdere plaatsen in dit artikel dat MS stopt met openbare patches (-ronde of -update variant).
Dit is allemaal erg verwarrend. Ik snap nu niet waar MS mee stopt.

Het is inderdaad wel een onduidelijk stukje berichtgeving met een (sensatie?) kop die suggereert dat het patchen zou stoppen.

Dan even over het stuk.
Ze gaan dus niet meer algemeen informeren naar jan en alleman, maar meer specifiek tegen betaling ? Als alles, buiten deze verandering, hetzelfde blijft wie boeit het dan ?

Zie het als SaaS, ik wil gewoon dat mijn product het doet en als men daarvoor moet patchen van tijd tot tijd vind ik het prima.

Redactie: ik heb net de blog gelezen en ben het met Robbert eens.
In de blog staat dat gestopt wordt met ANS, de openbare berichtgeving voorafgaande aan patch tuesday, niet met het patch Tuesday zelf. Sterker nog, in de blog wordt aangegeven dat velen de ANS niet meer lezen maar wachten op patch tuesday (met of zonder WSUS om het patchen binnen organisaties te beheren) en daarom onder andere stopt MS met ANS openbaar aan te bieden.

Ik weet niet wat de redactie leest, maar ik lees letterlijk:
"Softwarereus Microsoft stopt met het delen van patches voor kwetsbaarheden via een maandelijkse openbare update. Daarmee komt na ruim tien jaar tijd een einde aan de bekende Patch Tuesdays van het bedrijf."
Er staat dus wel degelijk dat Microsoft stopt met de patches, en dat is niet wat Microsoft op hun blog meldt.

Eens met Robbert en Cpt
Er staat "Softwarereus Microsoft stopt met het delen van patches voor kwetsbaarheden via een maandelijkse openbare update" Als de redactie vindt dat er wat anders staat moet ze het artikel terugtrekken en het anders opschrijven. Niet een beetje onduidelijk, maar heel veel onduidelijk. Hier hebben we niks aan. Welles nietes discussie over wat er staat.

Zo, dat is even heel erg verkeerd begrepen en uitgelegd.

"Softwarereus Microsoft stopt met het delen van patches voor kwetsbaarheden via een maandelijkse openbare update."

Update had beter "Notificatie" of "Berichtgeving" kunnen zijn, zeker als je het ook over software updates praat maar dat hier niet bedoeld.

"Daarmee komt na ruim tien jaar tijd een einde aan de bekende Patch Tuesdays van het bedrijf."

Nee, alleen de *vooraankondiging* van wat er in die Patch Tuesdays gebeurd veranderd.

"Volgens de leverancier is die opzet niet meer van deze tijd en vragen beheerders steeds vaker om patches die specifiek zijn toegesneden op hun organisatie."

Het gaat niet om patches, maar hoe ze security information tot zich willen krijgen: "obtain security information tailored to their organizations". Daarbij is het ook raar om een toegesneden (security) software patch te krijgen voor bijvoorbeeld een bug. Lijkt mij onrealistisch om aan iedere klant te vragen hoe ze de bug opgelost willen hebben...

"Critici balen van de nieuwe opzet."
Bron?

En over alle opmerkingen over betalen voor updates: Nee, daar staat niets over in de blog post van het MSRC. Wel dat de ANS nog wel word aangeboden aan klanten met een premium contract. Voor diegenenen die dat niet hebben en wél informatie willen krijgen over security issues (bijvoorbeeld die in toekomstige fixes worden opgelost) kunnen gebruik maken van myBulletins waarvoor je moet inloggen met een gratis Microsoft Account. Dan kan je namelijk aangeven van welke producten je informatie krijgt. Heb je bijvoorbeeld geen SharePoint, dan boeit het jouw organisatie niet of daar een issue in zit. Dat zou dan alleen ruis veroorzaken. Dát is wel een voordeel. En kost niets extra's.

Dus het valt allemaal wel mee. Toch?

Hoewel het misschien nu alleen nog om de aankondigingen gaat, kan dit ook gezien worden als opmaat naar een compleet nieuwe wijze van delivery. Microsoft heeft al eerder aangekondigd dat er geen major releases meer zullen komen van hun operating systemen. Stukje bij beetje zal je software geupdate worden en krijg je steeds sneller naast bugfixes ook nieuwe functionaliteit beschikbaar.

Daar hoort natuurlijk ook een ander verdienmodel bij, aangezien mensen geen nieuwe Windows versie meer zullen aanschaffen. Dus kom je automatisch bij een soort abonnement-vorm (ala Office 365) waarmee je je inschrijft voor updates & fixes. Geen abonnement = geen updates meer. Dit bericht ligt wat mij betreft dus in de lijn der verwachtingen. Je kunt er donder op zeggen dat dit slechts het begin is van meer soortgelijke aankondigingen.

Maar ik geloof nooit dat men (Microsoft) deze informatie niet ten gelde blijft maken: De druk op de verplichte gang naar de cloud (in dit geval Microsoft) wordt doorgezet!

Want Microsoft zou haar naam geen "eer aan doen", wanneer er geen business model aan vastgemaakt kan worden: ik citeer "During the private preview Interflow is free for Microsoft Azure subscribers. Users need an Azure subscription for compute and storage resources, and can get started with an Azure trial subscription at http://azure.microsoft.com/en-us/pricing/free-trial/. During the private preview, there is no fee for the data feeds Microsoft is bringing to Interflow."

Ik geef toe , wel handig zo'n dashboard, ook te downloaden en uit te pluizen natuurlijk...

Oftewel, als uw als klant van onze software wilt weten wat de gebreken zijn dient u eerst nog meer geld te moeten betalen om hiervan op de hoogte gesteld te worden.
Prima service dus.

Mijns inziens is dit de opmaat voor Windows 10. Daar wordt het model dat je maximaal 30 dagen achter mag lopen met de updates die Microsoft gaat verzorgen.

De Update cycle van microsoft wordt voor Windows 10
- Consumenten elke 30 dagen
- Business max 4 maanden later

Uitzondering voor Medische systemen enz. Het wordt dus een standaard microsoft service en Microsoft neemt het hele Patchen over met een stuk verantwoordelijkheid.
Net als bij Office 365 je krijgt een abonnement en bij blijven in versies is een must.

Vacatures bij Microsoft
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×