Da es mit Microsofts Sicherheitsupdates immer wieder gravierende Probleme gibt, hat man ein ‘Security Update Validation Program’ (SUVP) aufgelegt. Ein paar Informationen und Gedanken dazu.
Die Ankündigung durch Microsoft
Microsoft Mitarbeiter Dawn Thomas hat am 22. Oktober 2018 den Beitrag What is the Security Update Validation Program? in der Tech-Community mit der neuen Ankündigung veröffentlicht. Zitat:
The Security Update Validation Program (SUVP) is a quality assurance testing program for Microsoft security updates, which are released on the second Tuesday of each month. The SUVP provides early access to Microsoft security updates—up to three weeks in advance of the official release—for the purpose of validation and interoperability testing. The program encompasses any Microsoft products for which we fix a vulnerability (e.g. Windows, Office, Exchange, or SQL Server) and is limited to trusted customers under NDA who have been nominated by a Microsoft representative.
Das Security Update Validation Program (SUVP) soll also der Qualitätssicherung von Microsofts Sicherheitsupdates dienen, die am 2. Dienstag im Monat (Patchday) ausgerollt werden. Teilnehmer am SUVP erhalten bis zu drei Wochen früher Zugriff auf diese Updates. Damit sollen diese die Updates validieren und die Interoperabilität testen können.
Das SUVP umfasst jedes Microsoft-Produkt, für welches Microsoft Updates bereitstellt. Allerdings wird das Programm nur für ‘trusted customers’, die eine Vertraulichkeitsvereinbarung (NDA) unterschreiben, geöffnet. Vorgeschlagen werden die Leute von Microsoft-Repräsentanten.
Das Ziel des SUVP
Im Microsoft-Beitrag liest sich das ganz wundervoll, was man mit dem Programm erreichen möchten. Der Zweck des SUVP ist die Validierung von Microsoft-Sicherheitsupdates anhand der eigenen Testumgebungen und Infrastrukturen der Teilnehmer am Programm. Das soll den Test mit Branchen-, Dritt- und Inhouse-Anwendungen einschließen.
Probleme, die vor der allgemeinen Veröffentlichung der Sicherheitsupdates gefunden wurden, sollen über den SUVP schnell direkt an die (an der Erstellung des Updates beteiligten) Produktteams und Produktmanager oder Ingenieure weitergeleitet werden. Die Hoffnung ist, dass dies eine schnelle Ursachenanalyse (Rapic Root Cause, RCA) und Behebung ermöglicht. Idealziel: Die erfolgten Korrekturen können schnell mit dem Berichtspartner validiert werden.
Um die Vertraulichkeit von privat gemeldeten Schwachstelleninformationen zu schützen, erhalten die SUVP-Teilnehmer keine Schwachstellendetails und dürfen die Updates nicht per Reverse Engineering analysiert oder die Wirksamkeit der implementierten Sicherheitsmaßnahmen anderweitig überprüft werden. Microsoft verspricht:
Der Vorteil der Teilnahme am SUVP-Programm ist die Möglichkeit, Probleme zu identifizieren, die sich auf Ihr Unternehmen auswirken würden, bevor Microsoft-Sicherheitsaktualisierungen in großem Umfang veröffentlicht werden. Sobald die Probleme identifiziert sind, werden sie schnell erprobt und so weit wie möglich behoben. Dies wiederum ermöglicht es Ihnen, Ihre Windows-Produktionsmaschinen (oder die Ihrer Kunden) jeden Monat sicher und auf dem neuesten Stand zu halten, ohne Bedenken hinsichtlich der Regressionen der Funktionalität zu haben.
Wer nun ganz heiß auf das SUVP geworden ist, kann sich über seinen Microsoft-Repräsentanten nominieren lassen. Das Programm verlangt, dass die Teilnehmer einen SUVP-Vertrag unterzeichnen und einen aktiven Azure Active Directory (Azure AD)-Tenant haben, um die Verteilung von Inhalten über Microsoft Collaborate zu ermöglichen.
Meine zwei Cents
Als ich die blumigen Worte des Texts gelesen habe, dachte ich: Klingt für mich wie ein Beschäftigungsprogramm für gelangweilte Administratoren, die den ganzen Tag nichts zu tun haben. Nur mal so: Wir haben monatliche Preview Rollup Updates, die Microsoft den Leuten bereitstellt. Nach meinen Beobachtungen installieren sich die Leute diese Preview-Updates aber meist nicht (wer spielt schon gerne wissentlich Testkaninchen), weil es einfach zu aufwändig ist.
Und wir haben ein Insider Programm für Windows sowie für Microsoft Office. Aber die dicken Böcke werden erst nach dem offiziellen Rollout von Updates bekannt – nachdem viele Nutzer die Updates installiert haben. Wenn also diese Programme – zumindest in meinen Augen – nicht greifen und offensichtlich versagen, was soll dann ein SUVP bringen? Bei Woody Leonhard, wo ich auf den Hinweis gestoßen bin, findet sich der Kommentar:
Klingt auf dem Papier wirklich gut. Eigentlich klingt es wie ein altmodisches Beta-Testteam, das aus Corporate Volunteers besteht. Ich schätze, das ist billiger als die Einstellung von Testern. Ich frage mich, wie es in der kalten Wirklichkeit funktionieren wird?
Susan Bradley schreibt, dass dies ein altes Programm sei, welches jetzt ausgeweitet werde. Sie hat diese Ausweitung wohl auch gefordert – offenbar gibt es wirklich Interesse von Administratoren an so etwas. Im Forum von askwoody habe ich Hinweise gefunden, dass das ein uraltes Microsoft-Programm sei, welches jetzt wohl neue IT-Admin-Gruppen ansprechen soll. Im askwoody Forenthread überwiegt die Skepsis, ob das was bringt. Wie ist eure Einschätzung dazu? Ist das sinnvoll und habt ihr als Administratoren in Firmen für so etwas Zeit? Oder sind das weitere Beta-Tester, die eh nix finden?
Und bitte nicht vergessen: Wenn ein schwarzes Schaf (böser Hacker) vorzeitig Zugriff auf Security Fixes hat, hat der ein paar Wochen mehr Zeit um die Updates zu analysieren und Hacks zu schreiben die sie ausnutzen…
Daher ganz gut wenn da nicht jeder rein kann, sondern nur ausgewählte Kunden. Und ich vermute diese Großkunden wissen auch schon bescheid und haben das Personal für sowas – das bietet man nicht einfach auf blauen Dunst an.
Unter den Großkunden sind aber sicher auch einige schwarze Schafe an diesem exclusiven alten Programm beteiligt.
Die Probleme der alten Layer können wir zum Glück mit Hilfe der neuen Layer kapseln! :)
Das SUVP-Programm ist ein alter Hut (https://blogs.technet.microsoft.com/msrc/2005/03/15/a-little-bit-about-the-security-update-validation-program/).
Das klingt ein wenig nach: „Wir müssen unsere Betatests (noch weiter) in die Breite streuen um deren Kompatibilität zu testen, weil wir nicht in der Lage sind die externe Vielfalt der Hard- und Softwarekonfigurationen intern abzubilden“.
Vorsicht!, MS, das könnte ein Backlash der Basis eures Geschäftsmodells sein!
Das wird aller Wahrscheinlichkeit aber nicht funktionieren weil von Microsoft ja nur das gelesen wird was sie lesen wollen, echte Probleme werden überlesen heruntergespielt oder bestenfalls abgewunken, das kommt dann im nächsten Update.
Momentan habe ich das Gefühl dass das ganze System völlig Vermurkst und an die Wandgefahren ist und nun sollen andere Leute die Kiste für Microsoft aus dem Dreck fahren weil das Insider Projekt wohl gescheitert ist.
Also wir haben genug zu tun, alle Server auf einem halbwegs aktuellen Stand zu halten. Für Preview Updates fehlt uns schon die Kapazität. Es reicht ja nicht, die Updates zu installieren und die Server zu booten. Applikationen und Websites müssten von Usern geprüft werden. Und ob ich jetzt die Preview Updates installiere und Fehler melde oder an dem Programm teilnehme, ist für mich kein Unterschied. Es setzt gewisse Kapazitäten voraus, die nicht gegeben sind.
Ich persönlich habe mich nach 4 aktiven Jahren schon aus dem Feedback hub zurückgezogen. Man bekommt viel mehr Aufmerksamkeit für Ideen als für fundierte Bugreports.
Viele reproduzierbare Fehler die ich gemeldet habe wurden nicht behoben. Einige andere schon. Die Quote mit der Microsoft das Feedback genau so strukturiert beantwortet wie man es selbst eingegeben hat ist so gering. Und auf Worthülsen kann ich dankend verzichten.
Ich kann mir nicht vorstellen, dass dieses alte Programm da was besser machen kann. Denn oftmals reden schon die Microsoft Teams selbst nicht miteinander.
So ist es offensichtlich das man WMF 5.1 (powershell 5.1) noch immer nicht bei allen MS Produkten getestet hat, gleiches bei .net und Microsoft Produkten.
Ebenfalls arbeiten die Entwickler des Server Manager und Windows Admin Center in unterschiedlichen Sphären, sonst wäre es wohl einfacher zu erklären warum man mit jedem Tool nicht eine Aufgabe vollständig zu Ende administrieren kann, sondern beide benötigt und ggf. noch Powershell.
Auch rühmen sich die Entwickler vom immer noch zurück gezogenen Windows Server 2019 mit höherer Sicherheit, IIS und IE sind aber per default immer noch nicht sicher konfiguriert.
Es gibt soviele unerklärliche Baustellen, das einem die Worte fehlen und es hier auch nicht im Detail niedergeschrieben werden kann.
Da geht es nicht nur um Bugs sondern unfertige teilweise schon jahrelang im Einsatz befindliche Serverrollen und Features.
Und wenn das alles so ist, soll jetzt ein Programm diese Unzulänglichkeiten für Sicherheitsupdates verbessern?!