Computerworld News Service: Apples procedure for software- og sikkerhedsopdateringer beviser, at virksomheden ikke tager det at få Macs ud til erhvervslivet alvorligt, udtaler sikkerhedsanalytikere mandag.
Ifølge en af de eksperter, der her gør sine indsigelser, er det dog uretfærdigt at sammenligne Apples opdateringsprocedurer med for eksempel Microsofts.
"Man bliver nødt til at evaluere ydelsen for virksomhedens opdateringsprocedure, hvis man undersøger at købe Macs," udtaler Andrew Storms, som er direktør for sikkerhedsforretningsområdet hos nCircle Networks Security.
"Og de sidste to uger har ikke ligefrem givet Apple en guldmedalje."
Overraskelse
I modsætning til virksomhedens rival inden for styresystemer, Microsoft, som skemalægger sikkerhedsopdateringer til den anden tirsdag i hver måned og typisk begrænser andre opdateringer til to gange om måneden, udgiver Apple opdateringer, heriblandt sikkerhedsopdateringer, på hvilken som helst dag i måneden. Apple har for eksempel udrullet opdateringer på fem ud af 10 hverdage siden 9. september.
"Man får en opdatering fra Apple, og det kommer altid som en overraskelse," udtaler Storms.
"Det første, man gør, er at sætte sig ned med sit team, kigge på opdateringen og angive prioriteter og tilføje ressourcer. Og så kommer der en ny opdateringen dagen efter, og man er nødt til at gøre det hele om igen."
"Hvis man ikke ordentligt kan planlægge sådan noget, så er man i konstant alarmberedskab, og så påvirker det ledelsen af it-afdelingen," fortsætter Storms.
Og det må nødvendigvis afskrække virksomheder, hvor it-administratorer er vant til at forbinde Microsofts opdateringer med specifikke dage i kalenderen.
"Selv hvis man erkender, at Mac'en er et effektivt værktøj, så vil det have en endnu større negativ påvirkning på infrastrukturen på grund af den måde, hvorpå Apple udgiver sikkerhedsopdateringer. Spørgsmålet er, om ens infrastruktur kan holde til det."
Nødvendige skemaer
Charlie Miller, som er analytiker hos Independent Security Evaluators, og som er velkendt for sit arbejde om sårbarhederne ved Macs og iPhones, er enig i, at Apples opdateringsprocedure gør det svært for erhvervslivets it-medarbejdere.
"Administratorer er afhængige af at vide, hvad der kommer til at ske. Hvis de ved det, så kan de planlægge resten af ugen rundt om det," siger Charlie Miller.
At udgive opdateringer uden et skema, er ifølge Miller en invitation til virksomheder til simpelthen ikke at opdatere.
"For privatpersoner som mig er det ikke noget problem, men for professionelle er det en helt anden sag. Det sidste, de ønsker, er en opdatering, der bare pludseligt dukker op. De kan ikke opdatere uden at teste. Så dette er endnu en årsag for dem til at sige, 'så lader jeg bare være med at opdatere'."
En anden analytiker Swa Frantzen fra SANS Institutes Internet Storm Center, er dog uenig med Storms og Miller. Frantzen argumenterer, at det er en sammenligning - og undskyld ordspillet - mellem pærer og æbler, at stille Apples opdateringsprocedure over for Microsofts.
"Hvis Apple skal sammenlignes med andre leverandører, så vælg de andre Unix-leverandører," foreslår Frantzen.
"Sun, HP, FreeBSD, OpenBSD, de forskellige Linux-distributioner - meget få af dem grupperer deres opdateringer i en månedlig cyklus."
Faktisk, argumenterer Frantzen, så reducerer Apples procedure med at opdatere, så snart opdateringerne er klar, sårbarhedsvinduet for brugere.
"Microsofts månedlige cyklus giver gennemsnitligt en halv måneds unødvendig sårbarhed, mens opdateringen er færdig og blot ligger og venter på at blive sendt ud," udtaler Frantzen.
"Det er ligesom en bilproducent, der ved, at din bil vil få problemer, og som har en løsning, der forhindrer, at dine dæk eksploderer, men som beslutter, fordi det er lettere for forhandlerne på den måde, at vente et par uger med at fortælle det til dig eller at give dig løsningen."
Vedligehold af koder
"Jeg tror, at Apple faktisk sidder hårdt i det," opbløder Charlie Miller, som mener, at Apples opdateringsproblemer skyldes, at virksomheden skal vedligeholde aldrende kode, og at dens sene start i at følge Microsofts forspring med at anvende praksiser til udvikling af sikker kode.
"De er så langt bagude med dette. De foretager sig noget, men selv inden for noget af det helt basale, er de bagude i forhold til Microsoft."
Hvis Charlie Miller kunne bestemme, så ville Apple investere i en Microsoft-lignende procedure til udgivelse af sikker kode - det, som rivalen kalder for sin "Security Development Lifecycle" - for at gøre sit styresystem mere konkurrencedygtigt over for store virksomheder.
"Jeg mener, at dette er, hvad de skulle gøre, men jeg tvivler på, at de vil blive tvunget til det," udtaler Miller.
"Og i alle tilfælde, hvad ret har jeg til at fortælle dem, hvad de skal gøre? Selv hvis det, jeg sagde, var rigtigt."
Oversat af Thomas Bøndergaard
