Gromkundene får fiksene først

Microsoft har et program der store kunder får sikkerhetsfikser lenge før alle andre.

Ifølge Wall Street Journal har Microsoft opprettet en ordning kalt Security Update Validation Program, der store kunder som den amerikanske regjeringen og General Motors får tilgang til sikkerhetsfikser opptil en måned før de sendes ut til de øvrige kundene.

Ordningen er underlagt svært strenge sikkerhetsbestemmelser. Storkundene har ikke anledning til å installere fiksene før Microsoft publiserer dem for allmennheten. Fordelen ligger i at når Microsoft offisielt kunngjør sikkerhetshullene, kan storkundene installere fiksene straks, fordi all testing og andre forberedelser er unnagjort.

Detaljene om sikkerhetsopplegget rundt ordningen er ikke kjent. Det har som mål å hindre kunnskap om sikkerhetshullene fra å lekke ut. En lekkasje i forkant av den offisielle publiseringen ville innebære en vesentlig risiko for at kriminelle utnytter sårbarheter som brukere ikke har kjennskap til.

Forhåndsdistribusjonen av sikkerhetsfiksene foregår i det skjulte. Ordningen som er avtalt med den amerikanske regjeringen innebærer at US Air Force, som i fjor høst undertegnet en omfattende kontrakt med Microsoft og ikke har vært besudlet av Pentagons flirting med Linux og åpen kildekode, får fiksene først. Sammen med et titalls teknikere fra Microsoft testes fiksene på luftforsvarets standardkonfigurasjoner av bærbare og stasjonære PC-er. Sikkerhetsdepartementet (Department of Homeland Security) informeres om resultatene av denne testingen, og sørger for at fiksene går videre til andre regjeringsorganer som bruker de samme standardkonfigurasjonene som luftforsvaret.

Tre momenter er interessante i forbindelse med denne ordningen.

For det første er det klart at Microsoft kan bruke dette tidligvarslingsprogrammet som salgsargument i forhandlinger i store kunder, særlig i det offentlige der kostnadshensyn frister til å satse på gratis programvare.

For det andre får Microsoft tilgang til mer omfattende miljøer for å teste sikkerhetsfikser og sikre at den ene fiksen ikke slår den andre i hjel eller leder til nye sårbarheter.

For det tredje har mange store kunder klaget over at Microsofts nåværende opplegg for sikkerhetsoppdateringer i praksis gjør dem sårbare i mange uker etter at fiksene er publisert, fordi de trenger tid på å teste og installere dem.

IT-sjef i US Air Force, John Gilligan, har regnet ut at han bruker mer penger på å fikse programvaren fra Microsoft enn på å kjøpe den.

I General Motors gjelder tidligvarslingsprogrammet over to tusen forretningskritiske maskiner, skriver Wall Street Journal.

    Les også:

Til toppen