Canonical надає два типи покриття безпеки. Перший—це стандартна підтримка безпеки, яка триває 5 років і надає безкоштовні оновлення безпеки тільки для пакетів в основному репозиторії. Пакети з Universe репозиторію ніколи не отримують безкоштовні оновлення безпеки, навіть під час цього періоду.

Через 5 років пакети основного репозиторію перестають отримувати безкоштовні оновлення, але залишаються функціональними. Патчі безпеки продовжують розроблятися і випускатися протягом ще 10 років через підписки Ubuntu Pro, другий тип покриття, який охоплює як основні, так і універсальні репозиторії.

Кінець життя настає на 15-й рік, коли закінчується період Ubuntu Pro з додатками для спадщини. Тільки тоді патчі безпеки перестають повністю розроблятися.

Якщо ви використовуєте Ubuntu і хочете перевірити свій поточний статус підтримки, ви можете зробити це через термінал:

pro security-status

Ця команда покаже, які пакети мають активне покриття безпеки і які представляють потенційний ризик вразливості у вашій інфраструктурі.

Які реальні ризики?

Проблема залежностей значно збільшує ризик. Коли пакет A залежить від пакету B, що залежить від пакету C, будь-який незахищений пакет у цьому ланцюгу створює вразливість для вашого всього стеку. Дослідження Endor Labs аналізувало програмні пакети і виявило, що 95 відсотків усіх вразливостей містяться в транзитивних залежностях, що означає, що більшість ризиків безпеки у вашому програмному постачанні є непрямими.

Системи без оновлень безпеки залишаються вразливими до всіх загроз, які були розкриті після закінчення підтримки. Вразливість git показує, як зловмисники експлуатують публічно документовані слабкості. Зловмисні репозиторії стають векторами атак для виконання віддаленого коду на робочих станціях розробників і системах CI/CD.

Крім негайної експозиції безпеки, організації стикаються з явними наслідками в плані відповідності та операцій. Акт кіберстійкості ЄС, що набирає чинності з грудня 2027 року, вимагає від виробників надання своєчасних оновлень безпеки протягом життєвого циклу продукту. Стандарти, такі як FedRAMP, FISMA та HIPAA, вимагають сертифікованих криптографічних модулів FIPS-140, в той час як PCI-DSS вимагає актуальних патчів безпеки та підтримки постачальника. Використання незахищених пакетів піддає організації ризику невиконання цих нормативних вимог. Організації також стикаються з проблемами сумісності, коли нові пакети очікують оновлені залежності та обмежену підтримку при усуненні проблем у виробництві.

Ваші варіанти після закінчення стандартної підтримки

1. Оновіть до новішої LTS версії

Оновлення перемістить вашу інфраструктуру на LTS версію в межах 5-річного стандартного вікна підтримки. Це відновлює безкоштовні оновлення безпеки для пакетів основного репозиторію та усуває розрив у підтримці для цих пакетів.

Цей підхід працює добре, коли у вас є ресурси для ретельного тестування розгортання, ваші програми сумісні з новою версією, і у вас є час для комплексної перевірки. Виклик у тому, що великі оновлення несуть реальні витрати і ризики. Стрибки версій можуть зламати сумісність, вимагати змін у застосунках або ввести залежності, які потребують ретельного тестування перед впровадженням у виробництво.

2. Увімкніть Ubuntu Pro для розширеного обслуговування з безпеки

Увімкнення Ubuntu Pro на вашій інфраструктурі розширює покриття безпеки з 5 років до 15 років для пакетів як в основному, так і в універсальному репозиторіях. Це дозволяє вам продовжувати використовувати вашу поточну версію, отримуючи патчі безпеки. Команда безпеки Canonical активно сканує, відслідковує і повертає критичні, високі та вибіркові середні CVE до всіх підтримуваних LTS версій.

Стратегія повернення означає, що Canonical застосовує виправлення безпеки до ваших поточних версій пакетів, а не примушує до великих оновлень. Ви отримуєте патчі вразливостей без змін, що ламають сумісність, які приходять з великими стрибками версій або вимогами до повторної сертифікації, які порушують суворо контрольовані умови відповідності.

Ubuntu Pro покриває тисячі пакетів у основному та універсальному репозиторіях. Для організацій, які потребують повного 15-річного вікна підтримки, додаток для спадщини стає доступним після 10 років покриття з вартістю 50% вище стандартної підписки на Ubuntu Pro. Ми рекомендуємо цей підхід для організацій, які шукають економічно ефективну безпеку та відповідність. Ubuntu Pro зменшує значну частину зусиль з управління вразливостями, пропонуючи комплексне покриття відкритим програмним забезпеченням з простим і передбачуваним ціноутворенням.

Дізнайтеся більше про технічний підхід Canonical до повернення безпеки та довгострокового обслуговування у нашій документації на ubuntu.com/security/esm.

3. Використання без оновлень безпеки

Хоча це і не рекомендовано, ви можете усвідомлено вибрати використання пакетів без активної підтримки. Це може бути розглянуте, коли пакет обробляє насправді не критичну функціональність, система працює в повній ізоляції від мережі, або сильні компенсаційні заходи ефективно зменшують ризик вразливості.

Будьте чіткими в цьому виборі і ретельно документуйте його. Ведіть облік незахищених пакетів з чіткою бізнес-обґрунтуванням, документованою оцінкою ризику та регулярним графіком перевірок. Це допоможе вам набагато швидше перевірити вашу систему в майбутньому. Те, що сьогодні представляє прийнятний ризик, може не залишитися таким, оскільки ландшафт загроз змінюється, а нові моделі атак з’являються.

Працювати без підтримки через невігластво або інерцію принципово відрізняється від того, щоб прийняти усвідомлене рішення про прийняття ризику з відповідним управлінням та погодженням керівників.

Як працює розширене обслуговування з безпеки

Команда безпеки Canonical щодня моніторить вразливості і оцінює їх вплив на підтримувані пакети. Коли вразливості впливають на пакети під покриттям Ubuntu Pro, інженери застосовують доступні патчі вгору, або повертають виправлення безпеки з новіших версій до вашої підтримуваної версії. Оновлення проходять ряд перевірок, щоб підтвердити стабільність і сумісність перед тим, як стати доступними через стандартне управління пакетами.

Для вразливостей, які знаходяться під ембарго, таких як нещодавні проблеми з безпекою git, Canonical готує виправлення заздалегідь і випускає їх точно після закінчення ембарго, що гарантує, що ви захищені в момент, коли вразливість стає відомою.

Цей підхід означає, що ви не опинитеся перед вибором між безпекою і операційною стабільністю. Ви підтримуєте своє поточне, перевірене середовище, отримуючи необхідні патчі безпеки, які зберігають сумісність.

Як обрати правильний підхід після закінчення стандартної підтримки

Терміни підтримки випусків LTS прогнозовані. Ubuntu 20.04 був випущений у квітні 2020 року і досяг закінчення стандартної підтримки у квітні 2025 року, рівно через 5 років. Почніть планувати щонайменше за 6 місяців до закінчення стандартної підтримки. Це дасть вам час, щоб перевірити постраждалі пакети, випробувати шляхи оновлення, забезпечити бюджет і координувати зміни в інфраструктурі. Стратегічне планування запобігає екстреним рішенням під тиском.

Ваше рішення залежить від толерантності до ризику, вимог відповідності, інженерних потужностей і бюджету. Більшість підприємств використовують комбінований підхід. Загалом, наші пропозиції такі:

• Вам слід вибрати оновлення вашого LTS, коли ви можете ретельно протестувати, ваш стек підтримує наступну LTS, і підтримка актуального стану відповідає вашій стратегії.
• Оберіть розширене обслуговування безпеки, коли вам потрібна стабільність, вам не вистачає ресурсів для оновлення або вам потрібні патчі без вимог до версій.
• Ви повинні лише приймати рішення про роботу без оновлень, якщо ви можете адекватно зберігати мінімальний ризик, можете реалізувати сильні компенсаційні заходи та маєте чітке документоване схвалення.
• Гірший результат — це зовсім не прийняти рішення, дозволяючи покриттю підтримки закінчитися через бездіяльність.

Що вам слід зробити сьогодні?

Запустіть pro security-status, щоб оцінити своє поточне покриття. Визначте, які пакети втратять стандартну підтримку і коли.

Для Ubuntu 20.04 або раніших версій стандартна підтримка закінчилася. Ці системи потребують рішень зараз.

Дізнайтеся більше про варіанти Ubuntu Pro на ubuntu.com/pro або зв’яжіться з нашою командою, щоб обговорити ваші вимоги.