Водещи технологични компании, сред които Cisco, Microsoft, Dell, IBM, Oracle и Red Hat, публикуваха проект на нов стандарт – OpenEoX – насочен към уеднаквяване на начина, по който се обявява прекратяването на поддръжката и сигурността на софтуер и хардуер. Стандартът е представен чрез OASIS – международна организация за разработване на отворени стандарти.

Проблемът: хаос в обявленията за края на жизнения цикъл

В момента организациите масово се затрудняват да следят кои системи все още получават критични обновления, тъй като уведомленията за т.нар. End-of-Life (EoL) са разпръснати, с нееднакъв формат и често с неясен език. Това създава сериозни рискове за киберсигурността, особено когато остарелите системи са дълбоко вградени в сложни вериги за доставка на софтуер или в индустриална инфраструктура.

OpenEoX: решение чрез унифициран, машинно четим формат

Проектът OpenEoX, описан в 29-страничен документ, предлага унифициран, машинно четим формат, чрез който производителите ясно да информират кога техните продукти ще достигнат четири ключови момента от жизнения си цикъл:

1. General Availability (GA) – датата на първото пускане на продукта;

2. End of Sales (EoS) – последният ден за покупка;

3. End of Security Support (EoSS) – последната дата, на която се предоставят обновления по сигурността;

4. End of Life (EoL) – крайна дата на всякаква форма на поддръжка.

Целта е тази информация да може да бъде автоматично интегрирана в SBOMs (Software Bill of Materials), съвети по сигурността и инструменти за управление на риска.

По-добра прозрачност за клиенти, регулатори и одитори

„Да знаеш кога приключва поддръжката на един продукт не трябва да е игра на познаване„, коментира Омар Сантос – съпредседател на OpenEoX и софтуерен инженер в Cisco. Инициативата има за цел да намали административната тежест за доставчиците и да улесни автоматичното проследяване на риска от страна на клиенти, регулатори и одитори по веригата на доставки.

Отвореност към общността и бъдещо развитие

Проектът OpenEoX е в начален етап, но амбицията му е да се превърне в глобален технически стандарт. Инициативата е отворена за участие от страна на всички заинтересовани страни – както търговски компании, така и изследователи и държавни органи – чрез членство в OASIS.

Интересно е, че въпреки фокуса върху софтуера и хардуера, авторите отбелязват, че моделът може да бъде приложим и за AI модели, които също следват жизнен цикъл с критични точки по поддръжка и сигурност.