Apache 2.2 final de vida

Apache es un software de código abierto, lo que significa que cualquier persona interesada en hacerlo puede mantenerlo.

Además, Apache es una parte vital de todas las distribuciones de Linux, desde las cuales, por ejemplo. RHEL / CentOS / Oracle Linux 6.x tiene Apache 2.2 y será compatible hasta noviembre de 2020. Y cada mantenedor de distribución corrige errores en Apache (y otros paquetes de software) por su cuenta.

Por lo tanto, la fecha REAL del fin de vida útil de Apache 2.2 es impredecible.

Aunque no existe un final de vida oficial para Apache 2.2, existen algunas medidas que puede utilizar para determinar un tiempo de transición adecuado, a saber:

• Soporte de funciones (a menudo a través de módulos, por ejemplo, modssl)
• Cumplimiento de los estándares actuales (p. ej., TLSv1.2)
• Disponibilidad (portación hacia atrás) de correcciones de errores
• Oportunidad de las actualizaciones de seguridad (p. ej., atasco)

Desde mi punto de vista, varias de estas líneas se han cruzado en los últimos años. Específicamente, Apache 2.2 con modssl no tiene una solución para elvulnerabilidad de atascotodavía, pero Apache 2.4 ha tenido esto desde hace algún tiempo.

Hace unos años, el soporte SNI tardó en llegar a Apache 2.2: era una característica de Apache 2.4 que se había adaptado mediante un parche no oficial durante mucho tiempo.

He estado usando Apache 2.2 durante años y solo decidí comenzar a hacer la transición a 2.4 hace unos meses (uno de nuestros servidores tenía un requisito SSL adicional que actualmente solo Apache 2.4 puede satisfacer), por lo que actualmente tenemos algunos servidores 2.2. algunos 2.4. En última instancia, solo quiero admitir una única pila de servidores. Tus razones pueden variar, pero estos fueron los puntos importantes para tomar mi decisión.

Dehttp://www.apache.org/dist/httpd/Announcement2.4.html:

Tenga en cuenta que Apache Web Server Project solo proporcionará versiones de mantenimiento de la versión 2.2.x hasta junio de 2017, y proporcionará algunos parches de seguridad más allá de esta fecha hasta al menos diciembre de 2017. Se esperan parches de mantenimiento mínimos de 2.2.x a lo largo de este período, y se recomienda encarecidamente a los usuarios que completen rápidamente sus transiciones a la versión 2.4.x de httpd para beneficiarse de una variedad mucho mayor de correcciones de errores y seguridad menores, así como de nuevas características.

El fin oficial de vida de Apache 2.2 fue el 1 de enero de 2018 (verapachepágina de inicio):

Apache httpd 2.2 Fin de vida útil 2018-01-01

Como se anunció anteriormente, el Proyecto del Servidor HTTP Apache ha descontinuado todo desarrollo y revisión de parches de la serie de versiones 2.2.x.

El proyecto Apache HTTP Server se había comprometido desde hacía mucho tiempo a proporcionar versiones de mantenimiento de la versión 2.2.x hasta junio de 2017. La versión final 2.2.34 se publicó en julio de 2017 y no se considerarán ni publicarán más evaluaciones de informes de errores o riesgos de seguridad. para versiones 2.2.x.

La primeraanuncio oficialFue el 5 de julio de 2016.

Esto es para todos nuestros usuarios 2.2, se te acaba el tiempo.

Con el anuncio de hoy de Apache 2.4.23, la Apache Software Foundation incluyó el cronograma acordado el mes pasado para el final de vida útil (EOL) de Apache 2.2.

Por lo tanto, Apache 2.2 ya no recibirá ninguna nueva versión después del 30 de junio de 2017. Yo esperaría una última versión en ese momento. Apache 2.2 finalizará su vida útil por completo el 31 de diciembre de 2017 y no habrá ningún mantenimiento después de esa fecha.

Algunos antecedentes

Los desarrolladores del servidor Apache HTTP son casi en su totalidad voluntarios que dedican parte de su tiempo libre al mantenimiento del software. Debido a esto, son libres de elegir a qué quieren dedicar este tiempo y, para la mayoría, eso es principalmente mantener el código base 2.4, nuevas características o mejoras, así como 2.6/3.0 o simplemente 2.next, como me gusta llamarlo. . Esto da como resultado el problema de que no hay suficientes desarrolladores que puedan o estén dispuestos a dedicar tiempo a revisar correcciones de errores o versiones candidatas de 2.2 y se necesitan 3 desarrolladores para revisar y aprobar dichos cambios o versiones. Entonces, si no puede conseguir que tres personas revisen y voten, ¿por qué molestarse en mantenerlo?

Un buen ejemplo de esto es Apache 2.2.32, cuyo lanzamiento estaba previsto al mismo tiempo que el 2.4.23. Hay dos correcciones de errores que han estado ahí por un tiempo y que necesitan revisión y aprobación para continuar, pero aún les falta 1 voto. El fin de semana pasado, que fue un fin de semana festivo en los Estados Unidos, no ayudó en nada, pero con el feriado terminado y el 2.4.23 afuera, es de esperar que esto suceda en los próximos días para un lanzamiento en algún momento de la próxima semana.

La primera vez que se votó hasta el EOL 2.2 fue en mayo de 2015. Esto se pospuso hasta noviembre de 2015 porque en ese momento no había una muy buena tasa de adopción de 2.4 debido al hecho de que muchas versiones/distros de Linux mantenidas todavía incluían Apache 2.2. y no se actualizaría a 2.4. Estas versiones/distros finalmente han llegado al final de su vida útil, pero por unas pocas. Esta votación pospuesta finalmente se produjo el mes pasado y las encuestas previas a la votación entre quienes estaban dispuestos a contribuir al 2.2 eligieron el calendario.

Al observar los resultados de esa encuesta, solo veo dos desarrolladores dispuestos a mantener/revisar errores/correcciones de seguridad y dos dispuestos a probar y votar por nuevos lanzamientos hasta junio de 2017, parece que el resto solo está dispuesto a llegar hasta el final. de este año, por lo que después de eso las cosas pueden ponerse incompletas si no se pueden obtener 3 votos y básicamente un EOL de 2,2 antes de finales de 2017.