Em muitas empresas é comum utilizar produtos prontos em caixas, que têm interface web de fácil manipulação, tudo isso por um preço bem atrativo.

Na maioria dessas caixas, os fornecedores apenas criam a interface, sendo que o produto em si é um conjunto de softwares de mercado, na maioria dos casos sob a licença open source. Sendo assim o que temos é uma configuração realizada pelo fornecedor para integrar os mesmos, criando um único sistema.

Agora uma pergunta. Esses softwares são constantemente atualizados? De quem é a responsabilidade de atualizar os mesmos? Ficaremos atentos as notificações do fornecedor da caixa ou teremos que buscar quais softwares temos na caixa para então verificar suas notificações?

Esse é um grande problema, pois a atualização de um software específico na caixa nem sempre é possível, em muitos casos nem temos acesso.

Vejamos uma exemplo prático. Há pouco tempo tivemos uma grande falha no protocolo SSL e seus derivados. Sendo assim todos os softwares que usam OpenSSL estão vulneráveis, ou seja, todos as caixas que usam esses softwares também. Vale salientar que a lista de softwares não é pequena (OpenVPN, mod_ssl do apache, OpenSSH e muitos outros)

Na próxima segunda irei verificar junto a meus fornecedores essa questão, afim de estar alinhado com as atualizações dos softwares utilizados. Eu aconselho você a fazer o mesmo.

Fonte: Sans Diary