Окончание поддержки Apache 2.2

Apache — это программное обеспечение с открытым исходным кодом, что означает, что его может поддерживать любой желающий.

Кроме того, Apache является важной частью каждого дистрибутива Linux, например, RHEL / CentOS / Oracle Linux 6.x имеют Apache 2.2 и будут поддерживаться до ноября 2020 года. И каждый сопровождающий дистрибутив исправляет ошибки в Apache (и других программных пакетах) самостоятельно.

Таким образом, дата РЕАЛЬНОГО окончания поддержки Apache 2.2 непредсказуема.

Хотя официально дата окончания поддержки Apache 2.2 не определена, есть несколько мер, которые можно использовать для определения подходящего времени перехода, а именно:

• Поддержка функций (часто через модули, например modssl)
• Соблюдение текущих стандартов (например, TLSv1.2)
• Наличие (обратное портирование) исправлений ошибок
• Своевременность обновлений безопасности (например, logjam)

С моей точки зрения, несколько из этих границ были пересечены за последние несколько лет. В частности, Apache 2.2 с modssl не имеет исправления дляуязвимость заторапока нет, но в Apache 2.4 это уже давно реализовано.

Несколько лет назад поддержка SNI медленно появлялась в Apache 2.2 — долгое время это была функция Apache 2.4, портированная с помощью неофициального патча.

Я использовал Apache 2.2 в течение многих лет, и только несколько месяцев назад решил начать переход на 2.4 (один из наших серверов имел дополнительное требование SSL, которое в настоящее время может удовлетворить только Apache 2.4), поэтому сейчас у нас есть несколько серверов 2.2, несколько 2.4. В конечном счете я хочу поддерживать только один серверный стек. Причины могут быть разными, но это были важные моменты для принятия моего решения.

Отhttp://www.apache.org/dist/httpd/Announcement2.4.html:

Обратите внимание, что Apache Web Server Project будет предоставлять только релизы поддержки версии 2.2.x до июня 2017 года, а также некоторые исправления безопасности после этой даты, по крайней мере до декабря 2017 года. В течение этого периода ожидаются минимальные исправления поддержки версии 2.2.x, и пользователям настоятельно рекомендуется как можно скорее завершить переход на версию httpd 2.4.x, чтобы воспользоваться гораздо большим набором незначительных исправлений безопасности и ошибок, а также новыми функциями.

Официальным окончанием поддержки Apache 2.2 стало 1 января 2018 года (см.Апачидомашняя страница):

Apache httpd 2.2 Окончание поддержки 2018-01-01

Как было объявлено ранее, проект Apache HTTP Server прекратил всю разработку и рассмотрение исправлений для серии релизов 2.2.x.

Проект Apache HTTP Server уже давно взял на себя обязательство предоставлять релизы поддержки версии 2.2.x до июня 2017 года. Окончательный релиз 2.2.34 был опубликован в июле 2017 года, и никакие дальнейшие оценки отчетов об ошибках или угрозах безопасности не будут рассматриваться или публиковаться для релизов 2.2.x.

Первыйофициальное объявлениебыло 5 июля 2016 года.

Это для всех наших пользователей версии 2.2, ваше время на исходе.

С сегодняшним анонсом Apache 2.4.23 Apache Software Foundation включила согласованный в прошлом месяце график окончания поддержки Apache 2.2 (EOL).

Таким образом, Apache 2.2 больше не будет получать новых релизов после 30 июня 2017 года. Я бы ожидал, что в это время выйдет последний релиз. Apache 2.2 будет полностью прекращен 31 декабря 2017 года, и после этой даты никакого обслуживания проводиться не будет.

Некоторая предыстория

Разработчики Apache HTTP Server почти полностью являются добровольцами, которые посвящают часть своего свободного времени поддержке программного обеспечения. Из-за этого они вольны выбирать, чему они хотят посвятить это время, и для большинства это в основном поддержка кодовой базы 2.4, новых функций или улучшений, а также 2.6/3.0 или просто 2.next, как я люблю это называть. Это приводит к проблеме, что недостаточно разработчиков могут или хотят тратить время на просмотр исправлений ошибок или релиз-кандидатов 2.2, и для просмотра и одобрения любых таких изменений или релизов требуется 3 разработчика. Так что если вы не можете заставить трех человек просматривать и голосовать, зачем вообще беспокоиться о его поддержке?

Хорошим примером этого является Apache 2.2.32, который планировалось выпустить одновременно с 2.4.23. Есть два исправления ошибок, которые уже некоторое время лежат там, и которые нужно просмотреть и дать разрешение на продолжение, но им все еще не хватает 1 голоса. То, что эти прошлые выходные были праздничными в штатах, не помогло делу, но с окончанием праздников и выходом 2.4.23, мы надеемся, что это произойдет в ближайшие пару дней, а релиз состоится где-то на следующей неделе.

Первый раз голосование по EOL 2.2 состоялось в мае 2015 года. Оно было отложено на ноябрь 2015 года, поскольку в то время не было очень хорошего уровня принятия 2.4 из-за того, что многие поддерживаемые версии/дистрибутивы Linux все еще включали Apache 2.2 и не обновлялись до 2.4. Эти версии/дистрибутивы, наконец, сами стали EOL, за исключением нескольких. Это отложенное голосование наконец состоялось в прошлом месяце, и предварительный опрос тех, кто хотел внести свой вклад в 2.2, определил график.

Глядя на результаты этого опроса, я вижу только двух разработчиков, готовых поддерживать/просматривать исправления ошибок/безопасности, и двух, готовых тестировать и голосовать за новые релизы до июня 2017 года. Похоже, что остальные готовы работать только до конца этого года, так что после этого ситуация может стать нестабильной, если не удастся набрать 3 голоса, и, по сути, поддержка версии 2.2 будет прекращена до конца 2017 года.