十年前,微软开始了SDL,或安全开发生命周期,烤安全now-widely-adopted流程设计软件,并开始建造已经成为一个无与伦比的声誉在供应商编写更安全的代码,如何让客户了解安全问题和支持,与常规补丁。
但是,华盛顿州雷德蒙德市的这家公司。这家公司刚刚用一篇华而不实、充满轶事的文章来吹捧SDL的10年历史在线演示他似乎愿意冒着毁掉来之不易的声誉的风险,叫停Windows XP。
微软计划在4月8日发布Windows XP的最终公开补丁。在那之后,它将不会为自己和其他人在这个有着13年历史的操作系统中发现的安全漏洞提供修复。
就连微软也说,结果可能是毁灭性的。去年10月,该公司表示,4月8日之后,Windows XP将面临这样一个未来,即机器在率比补丁停止前高出66%。
“在[2014年]4月之后,当我们为受支持的Windows版本发布每月安全更新时,攻击者将试图对它们进行反向工程,以识别Windows XP中同样存在的任何漏洞,”微软可信计算(trusted Computing)小组主管蒂姆•瑞恩斯(Tim Rains)表示。“如果它们成功了,攻击者将有能力开发利用它们的攻击代码。”
微软(Microsoft)为自己停止给Windows XP打补丁辩护的理由是,它提醒大家,它支持这一操作系统的时间比其他任何操作系统都长,这是真的:它通常的做法是为一个操作系统打10年补丁。微软还认为,Windows XP是一款过时的老软件,比其更新的操作系统Windows 7、Windows 8和Windows 8.1更不安全。
再一次,真的。
微软只是偶尔触及的一个问题是,Windows XP驱动着世界各地大量的个人电脑。根据互联网测量公司Net Applications的数据,2月份全球有29.5%的个人电脑运行XP系统。根据目前运行Windows电脑的数量估计,“用户份额”约为4.88亿套系统。
4.88亿。
如果在未来12个月里售出的每台电脑都注定要取代现有的Windows XP系统,那么就需要一年半(约20个月)的时间才能根除XP。Windows XP不会消失。
中国大约有3亿台XP电脑,其中70%没有定期更新现有补丁(70%的数据来自微软),即使剔除其中的70%,仍有2.78亿台电脑。
微软以前从未遇到过这种情况,这个即将退役的操作系统运行着全球三分之一的Windows个人电脑。因此,一方面,它坚持自己的立场并不令人惊讶,它将XP推向了夕阳西下,并忘记了它。
但这样做的话,它对自己的伤害可能会和最终感染XP系统的客户一样大。
Windows XP的大规模感染确实有可能会让Windows品牌蒙上不安全的阴影,从而实现隐式的预言这家公司是去年年底成立的。对大多数人来说,Windows就是Windows, XP和最新的、锁定的8.1没有区别。对于这些人来说,Windows就是微软,因为它是该公司最知名的软件。
因此,如果4月后出现“Windows遭遇大规模攻击”的头条新闻,微软曾保证该漏洞只能在XP上被利用,新版本的Windows可以安全使用,但这一保证将在一片喧嚣声中消失。
除了自己的软件,微软还有其他担忧的理由。正如微软经常说的那样,它不仅要保证Windows系统的安全,还要保证整个Windows生态系统的安全,包括在Windows平台上运行的所有软件。第三方程序的漏洞,比如Adobe的like-a-sieve Flash Player,这是必须的打补丁的18倍自2010年以来,Adobe和微软都面临着持续不断的攻击。这是因为Windows驱动着全球90%的个人电脑。
这也是微软向第三方开发人员寻求帮助的原因之一——Adobe只是其中之一——帮助他们制作自己的类似于SDL的流程。上周的回顾会上,微软表示,自2008年以来,SDL指南的下载次数已经超过了100万次。
联合创始人兼前首席执行官比尔·盖茨通过一个相比普通公司电子邮件他在2002年1月发出的行动呼吁备忘录最终导致了SDL。盖茨说:“我们的新设计方法需要大幅减少微软及其合作伙伴和客户开发的软件中出现的此类问题。”“可信赖是一个比安全更广泛的概念,赢得客户的信任不仅仅是修复漏洞和实现‘五比九’可用性。这是一个跨越整个计算生态系统的根本性挑战,从单个芯片一直到全球互联网服务(强调)。”
盖茨上个月辞去了董事长一职,并将在微软投入更多时间,就产品和技术问题为新任首席执行官萨蒂亚·纳德拉(Satya Nadella)提供建议。
微软让XP系统在许多个人电脑上运行的同时退出市场,可能会让Windows品牌蒙上不安全的污点,让Windows生态系统容易受到感染。如果Windows XP继续成为恶意软件的粪坑,它可能会毁掉十年来加强该品牌和生态系统安全性的努力。
工作得到了回报。大多数安全专业人士认为,微软是其他所有供应商都应该努力达到的标准。他们称赞该公司的SDL流程,它发布新威胁的警告,并伴有快速而不完善的解决方案,每月一次的补丁计划,以及对已修复的缺陷以及客户如何防御这些缺陷的详实(不,有时是详尽的)描述。
微软公司良好的商业原因退休从支持Windows XP:大部分Windows收入来自许可新副本的操作系统oem(原始设备制造商),像联想、惠普、戴尔和数十人,大约3亿个新电脑,工厂今年将船。
微软肯定认为,如果它继续支持XP,它的合作伙伴的新电脑销量就会减少——基本上,旧的操作系统都是被替换的,而不是升级——Windows的销量也会减少。微软并不从现有的电脑上赚钱;它靠新电脑赚钱。(尽管有迹象表明,随着公司争取更多的服务收入,这种情况正在改变。)
微软不仅可以在商业上发号施令,它也有权利这样做。一些认为否则。
但也有人认为,退出XP,微软面临着一个无形的风险:该公司和Windows的声誉,将面临大规模恶意软件爆发,感染那些未受保护的机器。反过来,这些电脑可能会像过去发生的那样感染其他电脑,包括任何正在运行的新版本,由于这样或那样的原因而没有及时打补丁的电脑。
如果发生这种情况,很少有人会责怪那些仍然使用XP的人,即使是那些运行Windows 7或Windows 8.1的人,他们一直认为用户应该对运行最新软件负责。他们会责怪微软,就像当事情变糟时客户总是做的那样。
微软肯定已经盘算过,它的声誉所面临的风险是有道理的,如果继续支持XP,损失将小于收入的减少,而未来收入的减少意味着开创了一个先例。
然而,它已经开创了这样的先例。当它将XP的使用寿命从通常的10年延长到近13年时,它制定了一项政策,从现在起可能需要多年重复,因为企业标准版Windows 7将在2020年结束支持。如果Windows 8.1及其后继者不能改变企业的看法,微软可能会被迫承认Windows 7的重要性,并推出类似的扩展。它已经暗示了很多推迟截止日期规定oem必须停止销售预装Windows 7 Professional的新商用电脑。
到目前为止,微软除了反复告诉客户XP即将结束,他们应该转向Windows 8.1,要么升级操作系统,要么购买已经安装了Windows 8.1的新设备。这两个问题都得到了解决怀疑和嘲笑使用XP的用户
微软的单一鼓点——Windows 8.1、Windows 8.1,只有Windows 8.1——似乎是五音不全,就像它最初拒绝承认客户对Windows 8的抱怨超出了通常的抱怨一样。去年5月,时任Windows联席主管的朱莉·拉尔森-格林说,我们不是固执说到改变Windows 8,她可能是在谈论公司淘汰xp的策略。
如果微软真的决定改变方向,它也有客户、分析师和其他观察人士提出的几个选择。
180度转弯,继续修补XP。对微软来说,这是最容易实现的,但不是最容易接受的。微软可以顺其自然,继续给XP打补丁,直到它在所有Windows电脑中所占的份额降低为止。微软可以通过公布使用Windows Update操作系统的XP电脑的比例来巩固自己的地位。微软拒绝透露这一数字,以显示XP的普及程度,而不是让媒体和客户依赖于Net Applications之类的公司的估计。
继续支持XP,但只有针对关键漏洞的补丁。微软的安全团队已经这么做了致力于制作补丁对于Windows XP的关键和重要漏洞,这些漏洞将提供给那些第一年为每台电脑支付200美元额外支持的企业。(这些公司会自动收到所有被评为“关键”的更新,但对于那些被认定为“重要”的更新,它们必须支付额外的费用,超过每台机器200美元的费用。)如果它这样做了,它可能必须退还这些钱,或者可能自动免费将重要的更新发送给那些支付额外支持的公司。
为每个人提供额外的支持。微软可以向所有人提供超级扩展支持订阅服务,包括消费者和没有资格享受企业计划的中小企业。在这个决定中,订阅定价将是最困难的部分:低到足以吸引大量用户,高到足以替代微软认为将失去的新授权给原始设备制造商的收入。客户建议的价格是每年50或60美元。
恢复Windows 7并打折xp到Windows 7的升级。微软已经从自己的销售网点下架了Windows 7家庭高级版和Windows 7专业版,并停止向Newegg和亚马逊等中间商出售拷贝。(这些零售商之所以继续销售这本书,是因为他们或他们所依赖的分销商有库存。)通过复兴Windows 7,并将其作为XP的升级——似乎很少有XP个人电脑用户有兴趣转向彻底重新设计的Windows 8——微软向Windows出售了许可,即使不是最新的Windows。微软在2012年底和2013年初向Windows 7到Windows 8升级版用户收取的39.99美元的价格可能会有大幅折扣,吸引相当多的用户放弃XP。如果进一步降价——苹果在2012年将OS X 10.8(又名Mountain Lion)的售价降至19.99美元——应该会让更多用户放弃XP,据研究升级定价和用户份额的变化。
与一家或多家原始设备制造商合作,启动Windows XP个人电脑以旧换新程序。如果微软真的想让XP退出市场,一种方法是让客户把他们的旧的XP电脑换成新设备。微软以前也有过回购计划,去年就尝试过Surface平板电脑和Windows智能手机销量下降通过为用户使用过的iOS和Android移动设备付费,也可以为使用过的XP个人电脑提供类似服务。这项交易可能仅限于它自己的零售商店,或者是它在百思买连锁店中创建的店内商店,因为需要验证资格并帮助用户将数据、设置甚至应用程序从旧系统转移到新系统。但百思买及其极客团队的技术支持可以让这样的计划成为现实。
,
这样一个项目可以推进微软设定的几个目标。它将推广Windows 8.1设备,并被视为一种提升Windows 8.1版本的方式,就像消灭XP一样。如果这些设备在以旧换新后属于价格最低的类别——据报道,微软(Microsoft)对250美元以下的笔记本电脑削减了Windows 8.1的许可费——可能会平息目前一些永久xp用户的抱怨,他们无法负担升级并同时攻击基于Chrome操作系统的chromebook。微软似乎非常担心的廉价笔记本电脑。此外,一个以旧换新的程序会让一些XP用户进入微软账户(Microsoft Account),通过单点登录连接到公司的服务,从而进入这些服务的客户池。
但因为这是最激进的举措,也是本质上保守的微软最不可能采取的举措。
毫无疑问,微软已经考虑过这些选择,可能还有更多的选择:该公司并不缺少聪明的人,尽管它的一些营销信息已经走调。但根据证据——尤其是沉默——它拒绝了他们,并决定继续向XP补丁关闭进军。
这是一个耻辱。因为一旦Windows的声誉和生态系统的声誉因为未打补丁的XP系统被感染而受到打击,那就太晚了,只能眼睁睁地看着声誉逐渐流失。
以上建议都不能保证加速Windows XP从活跃操作系统的淘汰;最终,只有时间能做到这一点。但是,通过采取其中的一个或多个步骤,微软可以指出它已经做了什么来帮助客户摆脱XP,而不是让别人指出它还没有做什么。这可能意味着一个坏名声和一个仍然可信的名声之间的区别。
微软不能跌倒而导致的像一个XP打开其所有者和公司,而不是个人电脑业务停滞不前时,当其平板电脑战略尚未偿还,同样的策略依赖于操作系统命名为“窗口”。
这篇文章,“展望:微软因XP退役而面临安全声誉受损的风险”,最初是由《计算机世界》 .