Microsoft способна на большее: Windows Update как хостинговый сервис
Старое и небезопасное программное обеспечение от третьих производителей - это то направление, откуда поступает все больше и больше опасностей для систем. Вот некоторые радикальные идеи относительно того, как можно решить эту проблему.
Эта проблема может стать первой в списке вещей, которые предстоит сделать Microsoft. Важно отметить тот факт, что несколько лет назад Microsoft сделала главной своей целью безопасность своих продуктов, и это решение компании очень много значит для ее клиентов и для IT-сообщества в целом. Но программный гигант мог бы сделать и больше.
Во-первых, компания могла бы значительно расширить возможности Windows Update, что последе могло обеспечивать поддержку приложений от третьих производителей. Это сделать очень непросто и очевидно, что Microsoft полагает, что такие ее действия будут помощью ее же конкурентам. Правда же состоит в том, что компания таким вот образом поможет всем, включая и саму себя, делая системы Windows более безопасными.
Это уже довольно старая идея, которую я уже выносил на обсуждение несколько лет назад. Я вспомнил о ней, прочитав статью об ожидаемых фунциях Windows 7. По крайней мере я задумался над тем, что подразумевалось под "расширением Windows Update на поддержку обновлений приложений и драйверов от третьих производителей". Вообще то, Windows Update уже включает в себя много обновлений для сторонних драйверов и для некоторых сторонних приложений, хотя по сути это касается только тех приложений, которые продаются вместе с Windows, таких как Flash.
Оглянувшись назад на выходившие на протяжении последних нескольких лет продукты Microsoft и на уязвимости в них, то вы обнаружите, что они были очень подвержены уязвимостям, но, несмотря на это, вам все же стоит продолжать с ними бороться. Ведь пользователи, которые используют систему обновления Microsoft, которая по умолчанию включена в ее новых продуктах, уменьшаю риск нападения на их систему.
Именно поэтому сегодня становится очевидно то, что большинство успешных атак на систему происходит именно через старые уязвимости старых приложений от третьих производителей. Эти уязвимости могут быть устранены вручную, но их система обновлений не является автоматической, как система Microsoft.
А что если бы производители приложений смогли бы разрабатывать их так, чтобы они получали обновления, используя Windows Update? Microsoft, конечно же, хочет обеспечить контроль за их качеством и уровнем безопасности, но неправильно то, что компания хочет иметь полный контроль над обновлениями от сторонних производителей для их собственных приложений. Вместо этого следовало бы организовать нечто наподобие хостингового сервиса.
Продавцы программного обеспечения могли бы получить отдельную секцию на сайте Windows Update (представьте, winzip.windowsupdate.com). Microsoft могла бы определять форматы обновлений, указывая, какие файлы подвергнуться изменениям и какие это будут изменения. Компания могла бы выпустить цифровые сертификаты для вендоров, при этом сохраняя за собой право контроля за обновлениями, чтобы пользователи могли определить, что обновления получены именно от Microsoft и от вендора, одобренного Microsoft. Компания могла бы определить стандарты для ранжирования важности уязвимостей и обновлений (фактически, у нее уже есть подобная система, но ее, вероятно, придется переделать). Для таких обновлений можно было бы даже установить требования по прохождению тестов, а также сохранения за Microsoft права потребовать проведения таких испытаний в тестовых лабораториях компании прежде, чем обновление попадет на сайт. И наконец, я думаю, было бы справедливо, чтобы Microsoft установила плату за возможность разместить обновление на сайте Windows Update.
По тем же причинам, по которым им нравятся ежемесячные обновления Microsoft для продуктов этой компании, предприятия хотели бы, чтобы такой подход был реализован. Это помогло бы им составить планы регулярных обновлений и организовать этот процесс через более простой интерфейс.
Некоторые из описанных решений трудно реализовать: продавец софта должен сам решать, когда его приложение нуждается в обновлении, но у Microsoft должен быть некоторый контроль над тем, что предоставляется через Windows Update. Возможным компромиссом может стать группа для контроля над Windows Update, которая будет в конечном итоге определять, что и когда выходит на сайте обновлений, а также то, какие обновления будут считаться критическими (и, следовательно, будут загружаться в режиме автоматического обновления). Было бы разумно, если бы по началу в этом совете Microsoft занимала бы главенствующее положение, но при этом сохранялась бы возможность выслушивать различные мнения, и каждая компания-участница должна могла бы принять участие в этом процессе.
В итоге, поскольку вендоры станут будут работать с Windows Update, они станут обновляться свои приложения столь же безотлагательно и автоматизировано, как и Microsoft. Те же изменения могли бы сделать доступными обновления через Windows Software Update Services и другие каналы. Это будет победой Microsoft, победой вендоров, победой пользователей.
Однако, есть одно действительно серьезное препятствие на пути этого решения, которое, возможно, и не давало реализовать такой подход раньше - тестирование. Microsoft проводит просто громадное количество тестов для каждого выпускаемого обновления, но даже при этом время от времени обнаруживаются проблемы. Единственным путем для преодоления этого препятствия является разделение с продавцами программного обеспечения бремени тестирования, или хотя бы расходов на него. Держу пари, что многие вендоры отнеслись бы к возможности провести подобные тесты с большим энтузиазмом. Может быть, это возможно.
