Fim da vida útil do Apache 2.2

Apache é um software de código aberto, o que significa que pode ser mantido por qualquer pessoa interessada em fazer isso.

Além disso, o Apache é uma parte vital de todas as distribuições Linux, das quais, por exemplo. RHEL / CentOS / Oracle Linux 6.x tem Apache 2.2 e terá suporte até novembro de 2020. E cada mantenedor de distribuição corrige bugs no Apache (e outros pacotes de software) por conta própria.

Portanto, a data REAL do fim da vida útil do Apache 2.2 é imprevisível.

Embora não haja um fim de vida oficial para o Apache 2.2, existem algumas medidas que você pode usar para determinar um tempo de transição apropriado, a saber:

• Suporte a recursos (geralmente por meio de módulos, por exemplo, modssl)
• Adesão aos padrões atuais (por exemplo, TLSv1.2)
• Disponibilidade (backporting) de correções de bugs
• Oportunidade das atualizações de segurança (por exemplo, logjam)

Na minha perspectiva, vários desses limites foram ultrapassados ​​nos últimos anos. Especificamente, o Apache 2.2 com modssl não possui uma correção para ovulnerabilidade de impasseainda, mas o Apache 2.4 já tem isso há algum tempo.

Alguns anos atrás, o suporte SNI demorou a chegar ao Apache 2.2 - era um recurso do Apache 2.4 portado por meio de um patch não oficial por um longo tempo.

Eu uso o Apache 2.2 há anos e só decidi começar a fazer a transição para o 2.4 há alguns meses (um de nossos servidores tinha um requisito SSL adicional que somente o Apache 2.4 pode satisfazer atualmente), então atualmente temos alguns servidores 2.2, alguns 2,4. Em última análise, quero oferecer suporte apenas a uma única pilha de servidores. Seus motivos podem variar, mas esses foram os pontos importantes para tomar minha decisão.

Dehttp://www.apache.org/dist/httpd/Announcement2.4.html:

Observe que o Apache Web Server Project fornecerá apenas versões de manutenção do tipo 2.2.x até junho de 2017 e fornecerá alguns patches de segurança além desta data até pelo menos dezembro de 2017. Patches de manutenção mínimos de 2.2.x são esperados ao longo deste período, e os usuários são fortemente incentivados a concluir imediatamente suas transições para a versão 2.4.x do httpd para se beneficiar de uma variedade muito maior de pequenas correções de segurança e bugs, bem como de novos recursos.

O fim oficial da vida útil do Apache 2.2 foi em 1º de janeiro de 2018 (consulteApachepagina inicial):

Fim da vida útil do Apache httpd 2.2 01/01/2018

Conforme anunciado anteriormente, o Projeto Apache HTTP Server interrompeu todo o desenvolvimento e revisão de patches da série de lançamentos 2.2.x.

O Projeto Apache HTTP Server há muito se comprometeu a fornecer versões de manutenção do tipo 2.2.x até junho de 2017. A versão final 2.2.34 foi publicada em julho de 2017, e nenhuma avaliação adicional de relatórios de bugs ou riscos de segurança será considerada ou publicada para versões 2.2.x.

O primeiroanúncio oficialfoi em 5 de julho de 2016.

Isto é para todos os nossos usuários 2.2, seu tempo está se esgotando.

Com o anúncio de hoje do Apache 2.4.23, a Apache Software Foundation incluiu o cronograma acordado no mês passado para o fim da vida útil (EOL) do Apache 2.2.

Portanto, o Apache 2.2 não receberá mais novos lançamentos após 30 de junho de 2017. Eu esperaria um último lançamento nesse momento. O Apache 2.2 terá EOL completo em 31 de dezembro de 2017 e não haverá nenhuma manutenção após essa data.

Alguns antecedentes

Os desenvolvedores do servidor Apache HTTP são quase inteiramente voluntários que dedicam parte de seu tempo livre à manutenção do software. Por causa disso, eles são livres para escolher no que desejam dedicar esse tempo e, para a maioria, isso é principalmente manter a base de código 2.4, novos recursos ou melhorias, bem como 2.6/3.0 ou simplesmente 2.next, como gosto de chamá-lo. . Isso resulta no problema de que poucos desenvolvedores podem ou estão dispostos a gastar tempo revisando correções de bugs ou candidatos a lançamento do 2.2 e são necessários 3 desenvolvedores para revisar e aprovar tais alterações ou lançamentos. Então, se você não consegue que três pessoas revisem e votem, por que se preocupar em mantê-lo?

Um bom exemplo disso é o Apache 2.2.32, que foi programado para ser lançado ao mesmo tempo que o 2.4.23. Existem duas correções de bugs que estão lá há algum tempo e que precisam ser revisadas e receber o OK para prosseguir, mas ainda faltam 1 voto. O fim de semana passado, sendo um fim de semana de feriado nos estados, não ajudou em nada, mas com o fim do feriado e 2.4.23 chegando, esperamos que isso aconteça nos próximos dias para um lançamento na próxima semana.

A primeira vez que uma votação chegou ao EOL 2.2 foi em maio de 2015. Isso foi adiado para novembro de 2015 porque naquela época não havia uma taxa de adoção muito boa do 2.4 devido ao fato de que muitas versões/distros Linux mantidas ainda incluíam o Apache 2.2. e não seria atualizado para 2.4. Essas versões/distros finalmente se tornaram EOL, mas por alguns. Esta votação adiada finalmente ocorreu no mês passado e a votação pré-votação daqueles dispostos a contribuir para 2.2 escolheu o calendário.

Olhando para os resultados dessa enquete, vejo apenas dois desenvolvedores dispostos a manter/revisar correções de bugs/segurança e dois dispostos a testar e votar em novos lançamentos até junho de 2017, parece que o resto está apenas disposto a ir até o fim deste ano, então depois disso as coisas podem ficar complicadas se 3 votos não puderem ser obtidos e basicamente EOLing 2.2 antes do final de 2017.