viernes, 11 de noviembre de 2016

A partir de enero Microsoft no publicará más boletines de seguridad

Durante muchos años los boletines de seguridad de Microsoft nos han acompañado e informado sobre los parches y actualizaciones que publicaba la compañía. Pero según ha informado la propia compañía al comenzar el año esto va a cambiar. 

Los ya tradicionales boletines de seguridad de Microsoft empezaron en junio de 1998, cuando la firma de Redmond publicó el MS98-001. Durante los primeros años se distribuían según Microsoft conocía las vulnerabilidades y las corregía, llegando a publicar múltiples boletines durante todo el mes.

Fue con el lanzamiento de la política STPP (Strategic Technology Protection Program) en 2002 cuando Microsoft tomo la seguridad como un problema prioritario y dentro de esta campaña se incluyó la distribución mensual de boletines de forma programada (salvo excepciones). En octubre de 2003 se inició esta nueva política, que inicialmente no estuvo exenta de polémica.

De nuevo Microsoft vuelve a cambiar la forma de comunicación de las actualizaciones publicadas. A partir de febrero de 2017, Microsoft utilizará una nueva base de datos de actualizaciones de seguridad.

A primera vista disponer de una base de datos de información de búsqueda puede parecer una gran idea, pero cambia radicalmente la forma en que se presenta la información y como todo cambio en un principio puede resultar difícil de aceptar. No parece probable que sea bien recibido por los usuarios, sobre todo cuando la primera impresión es que el objetivo no es ofrecer mayor información y más clara sobre los problemas.

Nueva base de datos de actualizaciones
Incluso, parece que Microsoft ha tratado de ocultar el anunció de este cambio. En un pequeño post en uno de sus blogs bajo el título "Promover nuestro compromiso con las actualizaciones de seguridad" informa del nuevo portal destinado a la información de vulnerabilidades de seguridad, la Guía de Actualizaciones de Seguridad (Security Updates Guide). En vez de publicar los clásicos boletines donde se describen las vulnerabilidades este portal ofrece una base de datos para la consulta de la información.

Al final de dicho post es cuando encontramos la noticia bomba:
"La información de actualizaciones de seguridad se publicará como boletines y en la Security Updates Guide hasta enero de 2017. Después de las actualizaciones del martes de enero de 2017 solo publicaremos la información de las actualizaciones en la Security Updates Guide." ("Security update information will be published as bulletins and on the Security Updates Guide until January 2017. After the January 2017 Update Tuesday release, we will only publish update information to the Security Updates Guide.")
Solo queda ver si esta nueva política de información tiene éxito, pero en unas primeras consultas a esta nueva base de datos no da la sensación de que la información se presente de una forma más clara.

Más información:

Furthering our commitment to security updates
https://blogs.technet.microsoft.com/msrc/2016/11/08/furthering-our-commitment-to-security-updates/

una-al-dia (13/10/2003) Microsoft: marketing vs. seguridad
http://unaaldia.hispasec.com/2003/10/microsoft-marketing-vs-seguridad.html

una-al-dia (19/02/2002) Microsoft STPP, ¿estrategia tecnológica o lavado de cara?
http://unaaldia.hispasec.com/2002/02/microsoft-stpp-estrategia-tecnologica-o.html

una-al-dia (15/10/2003) Siete nuevas vulnerabilidades/parches de Microsoft
http://unaaldia.hispasec.com/2003/10/siete-nuevas-vulnerabilidadesparches-de.html

una-al-dia (15/12/2003) Explicaciones de Microsoft sobre su nueva política de actualizaciones
http://unaaldia.hispasec.com/2003/12/explicaciones-de-microsoft-sobre-su.html




Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017