IT bezpečnost

Dokud to funguje, tak do toho nevrtej

Publikováno 2. 2. 2023

Toto lidové moudro možná znáte také jako “Nehas, co tě nepálí”, případně v anglické variantě “If it ain’t broke, don’t fix it”, a v extrémním případě “Kdo chce víc, nemá nic”. 

Poučka je to sice obecně platná, a mohli jste se s ní jistě setkat i jinde než v IT oboru. Nabádá nás k tomu, že pokud něco jednou funguje, není dobré to měnit, nebo dokonce chtít od toho lepší výsledky.  

Setrvání v takovém zakonzervovaném, byť funkčním stavu, s sebou ale vždy nese nějaký kompromis. Míra akceptovatelnosti těchto kompromisů je pro každého jiná. Je ovšem vždy vhodné téma k zamyšlení, jestli tyto kompromisy nejsou ve výsledku větší problém než riziko toho, že posun někam dál, to pověstné “povrtání se”, nemusí být vždy bezbolestné a vyžádá si něčí čas. 

Pokud se zaměříme na oblast IT, lze do akceptovatelných kompromisů často zahrnout zastaralý vzhled aplikace, chybějící funkcionality, horší výkon, a obecně nižší uživatelský komfort. Existuje ale zásadnější problém, na který dříve nebo později narazí každé takto zakonzervované řešení, a to je absence bezpečnostních aktualizací a oprav zranitelností. 

Každá podpora jednou skončí

Každý slušný software má od svých autorů nějakým způsobem zajištěnou podporu, během které můžete počítat s tím, že pokud vejde ve známost nějaká zranitelnost, která by váš provoz závislý na tomto softwaru mohla ohrozit, dojde k vytvoření opravy pro tuto zranitelnost.  

Existují různé režimy této podpory, ale není v možnostech žádné vývojářské společnosti, aby donekonečna udržovala zabezpečené všechny verze svých aplikací. Většinou se tedy bavíme o životních cyklech (Life Cycle) pro jednotlivé verze aplikace, a je dopředu dané, do jakého termínu můžete očekávat dostupnost aktualizací pro vámi používanou verzi.  

Od toho se odvíjí i možnost plánování, na kdy by bylo dobré načasovat přechod na verzi vyšší. Jakmile se ovšem s danou verzí dostanete za hranici ukončení její podpory (EOL – End of Life), je to jako s ojetým autem bez údržby. Sice bude jezdit i nadále, ale dříve nebo později se mu zadře motor, nebo selžou brzdy, a výsledná škoda bude větší a nákladnější než náklady na průběžnou údržbu. 

Jaká je realita?

V Neit Consulting se pohybujeme v prostředí datových skladů, business intelligence, a souvisejících reportingových a analytických nástrojů. Ve velké míře se tedy setkáváme s využitím Oracle Business Intelligence, a protože jde často o komplexní nasazení tohoto nástroje, který se během let rozrostl sám o sobě, víme že přechod na vyšší verzi není vždy přímočarý.  

Klient často nemá možnost provést tento přechod sám, vlastními zdroji, protože nemá dostatek zkušeností a nechce zbytečně investovat do jejich získávání. V takové situaci jsme tu my a můžeme mu podat pomocnou ruku, protože už jsme tímto procesem několikrát prošli a jeho nástrahy jsme si vyzkoušeli v reálných podmínkách. 

Jak z toho ven?

Extended Premier Support pro OBIEE 11g skončil před více než rokem, v prosinci 2021. Tato verze OBIEE už rok nemá dostupnou žádnou formu podpory.  

Error Correction Support, tedy oprava chyb a bezpečnostních zranitelností, pro OBIEE 12c skončí v prosinci 2023 a pro Fusion Middleware 12.2.1.3 skončila v prosinci 2022.  

Nicméně uživatelé s platnou licencí OBIEE mají již delší dobu možnost provést upgrade na Oracle Analytics Server (OAS), jakožto nástupce OBIEE. Kromě získání novějšího a déle podporovaného řešení, nabízí OAS v ceně také v minulosti zpoplatněnou komponentu Data Visualization, která možnosti vytváření analýz a reportů posouvá dále a uživatelům přináší komfort moderních nástrojů. 

Na závěr

Jak už jsem zmiňoval, vždy je nutné vyhodnotit pro a proti existujícího stavu. Nicméně riziko neošetřených zranitelností je podle mého tak vysoké, že s přechodem na podporovanou verzi jakékoli aplikace není vhodné otálet, a začít ho plánovat včas. Přechodné “nepohodlí” a nutnost procesu přechodu na vyšší verzi věnovat čas, se nedá srovnat s tím, k jakým problémům může s nepodporovanou a zranitelnou verzí dojít. 

 

Lukáš Zíta
Infrastructure Team Leader