Résumé
Votre Ubuntu LTS (Long-Term Support) est toujours sécurisé de la même manière, avec cinq ans de mises à jour de sécurité gratuites pour les paquets « Main » de la distribution, et pour tout le reste, avec une couverture de sécurité optimale. C’est la promesse d’Ubuntu depuis notre premier LTS en 2006, et elle reste exactement la même. En fait, grâce à notre équipe de sécurité élargie, votre LTS est mieux sécurisée aujourd’hui que jamais, même sans Ubuntu Pro.
Ubuntu Pro est un flux supplémentaire de mises à jour de sécurité et de paquets qui répondent aux obligations de conformité pour la certification FIPS ou relatives à la loi HIPAA, et se rajoute à Ubuntu LTS. Ubuntu Pro a été lancé en version bêta publique le 5 octobre 2022, et est passé en disponibilité générale le 26 janvier 2023. Ubuntu Pro prévoit un accord de niveau de service (SLA) pour les correctifs de sécurité de l’ensemble de la distribution (paquets « Main » et « Universe ») pendant dix ans, avec des extensions pour les cas d’utilisation industrielle.
Ubuntu Pro permet aux grandes entreprises de donner à leurs développeurs les moyens d’utiliser n’importe quel élément d’Ubuntu en toute confiance, en sachant qu’il sera sécurisé pendant dix ans. Nous avons créé ce produit pour certains clients spécifiques et nous le rendons maintenant largement disponible. Nous avons établi le tarif d’Ubuntu Pro de manière à ce que ce soit extrêmement rentable pour les entreprises de l’adopter à grande échelle – par exemple, sur le cloud public, nous fixons le prix d’Ubuntu Pro à, en moyenne, 3–4 % du coût de la machine virtuelle sur laquelle il s’exécute. Notre objectif est de permettre à un responsable de la sécurité des systèmes d’information de laisser tous ses développeurs utiliser Ubuntu, n’importe où et à moindre coût.
Dans le cadre de notre mission mondiale pour amplifier l’impact du logiciel libre, nous offrons un abonnement personnel gratuit à Ubuntu Pro qui couvre jusqu’à 5 machines, ou 50 machines pour les membres actifs de la communauté Ubuntu.
Ubuntu est-il toujours gratuit ?
Oui, les versions LTS et intermédiaires d’Ubuntu fonctionnent toujours exactement de la même manière, avec les mêmes promesses, les mêmes corrections de bugs et, surtout, les mêmes mises à jour de sécurité pour les paquets « Main » et « Universe ».
Ubuntu Pro est gratuit pour un usage personnel. Il offre la suite complète des fonctionnalités d’Ubuntu Pro pour vous – et toute entreprise que vous possédez – sur un maximum de 5 machines physiques avec un nombre illimité de VM et/ou de conteneurs que vous pouvez exécuter dessus.
L’extraordinaire gamme de mises à jour de sécurité d’Ubuntu Pro est financée par des utilisateurs payants à grande échelle. Leurs abonnements à Ubuntu Pro nous permettent d’offrir ce service gratuitement aux utilisateurs personnels qui peuvent en avoir besoin pour leur propre usage, celui de leur famille ou de leur petite entreprise, que nous sommes heureux de soutenir dans le cadre de notre mission et de notre impact social. Il existe des programmes à prix réduit pour des cas d’utilisation spécifiques, tels que la recherche, l’éducation et le monde universitaire.
Quelle est la différence entre les dépôts Ubuntu Main et Universe ?
Les dizaines de milliers de paquets Ubuntu sont organisés en un ensemble de dépôts.
« Main » est l’ensemble des paquets que nous avons identifiés comme notre priorité lors du lancement d’Ubuntu – ce sont des paquets qui sont soit installés sur chaque machine, soit très largement utilisés pour toutes sortes de déploiements, de l’ordinateur de bureau à l’informatique dématérialisée. Lorsque nous avons lancé Ubuntu LTS, nous nous sommes engagés à assurer la sécurité de ces paquets et de leurs dépendances dans « Main » pendant cinq ans, gratuitement. Au départ, il y avait environ 1 000 paquets dans « Main », et aujourd’hui ce nombre est passé à environ 2 300 par nouvelle version d’Ubuntu.
Le dépôt « Universe » contient tous les autres paquets open source d’Ubuntu, provenant de Debian et de la communauté Ubuntu. Universe est un référentiel beaucoup plus important, avec plus de 23 000 paquets par version. Historiquement, Canonical ne donnait aucun engagement de continuité de sécurité sur ces paquets. Néanmoins, Canonical et la communauté Ubuntu ont assuré la maintenance de ces paquets de façon optimale. Avec le lancement d’Ubuntu Pro, tous les paquets d’Ubuntu Universe bénéficient du même engagement de maintenance de sécurité de la part de Canonical que les paquets d’Ubuntu Main.
Comment puis-je savoir si les paquets que j’utilise proviennent d’Ubuntu Main ou Universe ?
Exécutez pro security-status dans le terminal pour obtenir ces informations. Voir l’exemple ci-dessous.
C’est quoi les esm-apps et esm-infra ?
Ubuntu Pro est un abonnement large qui comprend de nombreuses variantes de paquets open source pour répondre à différents besoins. Il est peu probable que vous souhaitiez les utiliser toutes en même temps. Vous pouvez donc sélectionner le flux précis de mises à jour et de versions à appliquer sur n’importe quelle machine couverte par votre abonnement Pro. Par exemple, Pro inclut un ensemble de versions de paquets conformes aux réglementations FIPS. Ces versions ne doivent être installées que sur les machines qui doivent satisfaire aux exigences FIPS. Vous pouvez donc choisir d’activer ce flux spécifiquement sur ces machines.
Il existe deux flux qui couvrent les mises à jour de sécurité des paquets à grande échelle ; nous les appelons « apps » et « infra ». Le flux « esm-apps » couvre tous les paquets « Universe » pendant dix ans à compter de la sortie de la LTS. Le flux « esm-infra » couvre les paquets « Main » pendant la période qui suit la fin de la maintenance de sécurité standard de cinq ans des paquets « Main ». Nous appelons cela « infra » parce qu’il est généralement utilisé pour construire notre cloud privé, le stockage et les clusters Kubernetes, où les paquets « Universe » ne sont généralement pas déployés. Vous pouvez souscrire un abonnement à Ubuntu Pro (infra-only) moins coûteux si vous ne voulez que les composants infra, ce qui équivaut à notre offre ESM d’origine.
Que se passe-t-il si je ne veux pas souscrire à Ubuntu Pro ? Vais-je cesser de recevoir des mises à jour de sécurité pour mon Ubuntu LTS ?
Non, rien n’a changé pour Ubuntu LTS. Il fournit toujours des mises à jour de sécurité standard pour le dépôt principal d’Ubuntu depuis 5 ans, ainsi que des correctifs optimaux pour les paquets « Universe ». Les correctifs optimaux pour « Universe » incluent tous les correctifs fournis par la communauté Ubuntu et Debian.
Auparavant, Canonical ne disposait pas des ressources nécessaires pour garantir les mises à jour de sécurité pour les paquets du dépôt « Universe », qui constitue une collection de paquets bien plus importante que celle fournie par n’importe quel autre système Linux d’entreprise. Grâce à nos plus gros clients, nous avons pu étendre notre couverture de sécurité, et rendre Ubuntu Pro globalement disponible avec l’engagement de sécurité open source le plus large au monde le 26 janvier 2023.
Si vous décidez d’opter pour Ubuntu Pro avec un abonnement personnel gratuit ou un abonnement d’entreprise, vous obtiendrez plus de mises à jour de sécurité que jamais. Si vous n’optez pas pour cette option, vous ne perdez rien, vous pouvez continuer à utiliser Ubuntu LTS sans l’abonnement Pro comme vous l’avez toujours fait.
Ai-je besoin d’Ubuntu Pro si j’utilise la dernière version d’Ubuntu LTS ?
Vous n’êtes pas obligé d’y souscrire, mais Ubuntu Pro peut vous fournir davantage de mises à jour de sécurité, même sur la dernière version LTS. De plus, Ubuntu Pro est gratuit pour de nombreux utilisateurs et la seule chose que vous avez à faire est de vous enregistrer avec votre adresse email.
Cela dit, si vous décidez de ne pas souscrire, vous pouvez continuer à utiliser Ubuntu LTS sans que le niveau de sécurité dont il bénéficie ne soit altéré. Ubuntu Pro ajoute une durée de vie plus longue, plus de sécurité et de conformité, mais il n’enlève rien à Ubuntu LTS.
Toutes les vulnérabilités seront-elles corrigées ?
L’équipe de sécurité d’Ubuntu donne la priorité aux CVE (Common Vulnerabilities and Exposures) critiques et élevés. Ils s’attaqueront également à certains CVE moyens. Pour les clients qui ont des obligations de conformité spécifiques, Canonical permet aux entreprises clientes de sponsoriser des correctifs supplémentaires jusqu’à des CVE moyens pour un sous-ensemble sélectionné de paquets et leurs dépendances.
Canonical ne bloque pas les mises à jour de sécurité ainsi commercialement « sponsorisées ». Au cours des dernières années, Canonical a accumulé de plus en plus de paquets « Universe » grâce à de tels engagements d’entreprises clientes et a élargi l’équipe de sécurité pour couvrir l’ensemble des paquets « Universe ». Par conséquent, un portefeuille croissant de mises à jour de sécurité est déjà disponible pour les utilisateurs d’Ubuntu Pro.
Pourquoi suis-je désormais averti que des paquets nécessitent des mises à jour de sécurité ?
L’interface de ligne de commande APT et l’interface graphique de bureau Software Updater ont toujours listé les mises à jour disponibles pour les paquets installés sur votre machine. Nous continuons à le faire, en montrant les mises à jour qui sont immédiatement installables, ainsi que les mises à jour qui sont disponibles avec un abonnement Ubuntu Pro. Il s’agit de mises à jour de paquets « Main » après la période standard de cinq ans, ou de mises à jour « Universe » qui ne font pas partie de l’ensemble fourni par la communauté ou qui ne sont pas inclus dans notre effort optimal.
Avec la version GA d’Ubuntu Pro, le 26 janvier 2023, nous avons commencé à publier des avis de sécurité Ubuntu (USN pour Ubuntu Security Notices) pour les paquets dans le référentiel « Universe », afin que les entreprises clientes disposent des données dont elles ont besoin pour répondre aux obligations d’audit et de conformité et évaluer leur propre couverture de sécurité.
Si vous n’installez que des paquets provenant du dépôt principal, ou si aucun correctif de sécurité n’est disponible pour le logiciel que vous utilisez dans le dépôt « Universe », vous ne verrez pas les mises à jour « Ubuntu Pro » dans votre interface de lignes de commandes APT ou dans l’interface graphique de mise à jour des logiciels. Le message ne s’affiche que lorsque vous utilisez des paquets pour lesquels il existe des correctifs de sécurité dans Ubuntu Pro, et il vous donne la liste exacte des paquets concernés sur votre système.
Comment garantir 10 ans de correctifs de sécurité pour des versions qui ne sont plus maintenues en amont ?
« Long Term Support » (LTS) est un terme que nous avons inventé avec le premier Ubuntu LTS en 2006 ! L’équipe de sécurité Canonical effectue les correctifs de sécurité vers les versions des paquets livrés avec une version d’Ubuntu LTS. Dans la mesure du possible, nous veillons à éviter les modifications de l’interface binaire-programme (ABI), afin que les utilisateurs bénéficient des mises à jour de sécurité sans autres changements de comportement.
Cette approche garantit la stabilité et la sécurité de l’API pendant 10 ans, sans mise à niveau obligatoire vers des versions plus récentes des applications. Nous contribuons aux correctifs de sécurité en amont dans les versions de développement actuelles des applications, mais pour la maintenance à long terme, nous allons bien au-delà de ce que la communauté en amont fournit. Nous le faisons pour l’ensemble des paquets d’Ubuntu, ce qui représente une surface de couverture beaucoup plus importante que pour n’importe quelle autre distribution Linux d’entreprise.
Le but d’Ubuntu Pro est-il de placer les correctifs de sécurité importants derrière une sorte de mur payant ?
Les mises à jour de sécurité d’Ubuntu LTS sont inchangées – nous n’avons en aucun cas réduit notre couverture de sécurité gratuite pour les paquets « Main » ou « Universe ». Un abonnement à Ubuntu Pro offre des correctifs de sécurité supplémentaires, qu’Ubuntu LTS n’a jamais fournis auparavant. Rien ne change par rapport à ce qui a été fourni dans le cadre d’Ubuntu LTS.
Les nouveaux correctifs fournis par Canonical aux abonnés Ubuntu Pro couvrent le dépôt « Universe » (pour 10 ans) et le dépôt « Main » (pour 5 années supplémentaires après 5 ans de support standard gratuit qui ne nécessite aucune obligation d’abonnement). Cela n’a pas d’impact sur les correctifs de sécurité fournis par la communauté Ubuntu, ou par Canonical, car nous avons toujours eu une politique d’effort optimal pour les correctifs dans « Universe ».
Les entreprises qui utilisent Ubuntu à grande échelle et qui souhaitent bénéficier des avantages supplémentaires d’Ubuntu Pro peuvent essayer un abonnement gratuit d’un mois à Ubuntu Pro directement à partir de la boutique Ubuntu, ou à partir des marketplaces publiques (AWS, Azure, Google). La tarification d’Ubuntu Pro est simple et transparente.
Puis-je désactiver les notifications d’Ubuntu Pro ?
Oui, vous pouvez désactiver la détection par le système des mises à jour de sécurité d’Ubuntu Pro ainsi que le flux d’informations APT qui fournit une vue d’ensemble des problèmes actuels.
Les informations relatives aux mises à jour de sécurité d’Ubuntu Pro sont gérées par les hooks APT décrits dans la documentation officielle. Le fichier de configuration concerné est /etc/apt/apt.conf.d/20apt-esm-hook.conf et vous pouvez ajouter des commentaires aux lignes pour supprimer cette source d’information.
Les nouveautés d’APT apparaissent dans l’interface de lignes de commandes d’APT et seront bientôt ajoutées à l’interface graphique du Software Updater, afin d’aider les gens à comprendre la nature des mises à jour récentes et à prendre des décisions éclairées sur le moment de les appliquer. Vous pouvez désactiver ou activer l’affichage des nouveautés apt grâce à la commande sudo pro config set apt_news=false.
Pourquoi est-ce que je vois des mises à jour pour ARM si la mise à jour ne concerne qu’une autre architecture ?
C’est un bug connu et l’équipe s’efforce d’y remédier afin que vous ne voyiez que les mises à jour réellement disponibles pour votre machine. L’architecture ARM est entièrement prise en charge par Ubuntu Pro, à partir d’Ubuntu 18.04 LTS.
Où puis-je trouver plus de détails sur l’utilisation d’Ubuntu Pro ?
Notre site de documentation est continuellement mis à jour avec des informations sur l’utilisation du client Ubuntu Pro. Pour un guide de démarrage rapide, suivez notre tutoriel.