Co czwarta organizacja nadal korzysta z CentOS - jakie ryzyko jest z tym związane?

Opensource’owe systemy operacyjne oparte na jądrze Linuxa są od wielu lat najpopularniejszą alternatywą dla rozwiązań komercyjnych. Użytkownicy mają do wyboru tysiące różnych dystrybucji z tej rodziny, jednak kilka jest wykorzystywanych zdecydowanie częściej niż pozostałe. Według najnowszego raportu “2025 State of Open Source” w pierwszej trójce znajdują się Ubuntu (wskazane przez niemal 57 proc. ankietowanych), Debian (prawie 32 proc.) i CentOS (niespełna 26 proc. odpowiedzi)^[1]. Ostatnie miejsce na podium należy do dystrybucji Linuxa, dla której wsparcie już wygasło. Oznacza to, że systemy nie otrzymują oficjalnych aktualizacji i poprawek. Eksperci Linux Polska, polskiego lidera technologii open source i transformacji cyfrowej, wyjaśniają, jakie skutki może przynieść dalsze korzystanie z CentOS.

CentOS 6, 7 i 8 bez wsparcia. Część organizacji bez planu

Wsparcie dla 6, 7 i 8 wydania CentOS jest już historią – wygasło kolejno w 2020, 2021 i 2024 roku. Mimo to system nadal jest popularny wśród użytkowników. Zaskakująco chętnie korzystają z niego również duże organizacje, co potwierdza aż 40 proc. z nich^[2]. Sytuacja ta wiąże się ze sporym ryzykiem – brak aktualizacji bezpieczeństwa i poprawek błędów zwiększa podatność na zagrożenia, a także ogranicza kompatybilność systemu z nowym oprogramowaniem.

Mimo to na pytanie o plany na wypadek nowych luk w zabezpieczeniach CentOS ponad 28 proc. użytkowników odpowiada: nie wiem. Co więcej, jest to najczęściej wybierana opcja. Pozostali badani wskazują na różne potencjalne rozwiązania. Niespełna 19 proc. osób przyznaje, że ma długoterminowego dostawcę poprawki, a kolejne 15 proc. będzie go szukało na wypadek wystąpienia problemów. Wewnętrzny zespół programistów, który dostarcza poprawki i aktualizacje oprogramowania, posiada 13 proc. firm^[3]. Jak wyjaśnia Dariusz Świąder, Prezes Linux Polska, dalsze korzystanie z nieaktualizowanego systemu ma różne przyczyny.

– Dla firm, których cała infrastruktura opiera się na CentOS, migracja do innej dystrybucji wiąże się z wieloma wyzwaniami. Pierwszym jest brak odpowiednio przeszkolonego zespołu, który mógłby przeprowadzić firmę przez cały proces – od uzasadnionego wyboru nowej dystrybucji, przez migrację i zmianę konfiguracji systemu, aż po dostosowanie infrastruktury. W takiej sytuacji dobrym pomysłem jest skorzystanie ze wsparcia zewnętrznych ekspertów. Dla części organizacji problemem okazują się ograniczenia budżetowe, związane albo z koniecznością wymiany aplikacji kompatybilnych z CentOS, albo szerzej – z przeprowadzeniem całego procesu migracji. Warto jednak mieć na uwadze, że straty finansowe wynikające z potencjalnego cyberataku mogą być dużo wyższe niż wydatki związane z profesjonalną, bezpieczną migracją. Wystarczy wyobrazić sobie choćby wzrost kosztów operacyjnych spowodowanych obniżoną wydajnością na skutek przejęcia systemu przez szkodliwe oprogramowanie – tłumaczy Dariusz Świąder, Prezes Linux Polska.

Największym wyzwaniem dla organizacji są poprawki bezpieczeństwa

Według badań organizacje zdają sobie sprawę z zagrożeń związanych z zarządzaniem wycofanymi z eksploatacji serwerami CentOS. Aktualnie głównym wyzwaniem są dla nich poprawki bezpieczeństwa – na taką odpowiedź wskazuje co drugi badany. Po 30 proc. osób zwraca uwagę na problemy z kompatybilnością i utrzymaniem zgodności. Innymi wyzwaniami są m.in. przestoje, brak umów SLA (umów o gwarantowanym poziomie świadczenia usług), brak specjalistycznej wiedzy o systemie CentOS oraz zarządzanie kosztami^[4]. Jakie konsekwencje wynikają z tych aspektów?

– Brak poprawek bezpieczeństwa oznacza, że każda nowa podatność w nieaktualizowanej dystrybucji pozostanie bez reakcji ze strony społeczności. Niezałatane luki oczywiście zwiększają ryzyko ataku i wycieku danych, ponadto mogą przyczynić się do awarii w środowisku produkcyjnym. Kolejna kwestia – niekompatybilność. W praktyce oznacza konieczność korzystania ze starszych wersji lub nawet rezygnacji z niektórych bibliotek lub aplikacji. Warto mieć również na uwadze, że część dostawców tych aplikacji może odmówić wsparcia ze względu na korzystanie z platformy, dla której oficjalne aktualizacje bezpieczeństwa nie są już wydawane – wyjaśnia Tomasz Dziedzic, CTO Linux Polska.

Czas migracji trudny do oszacowania

Poza kwestiami technicznymi wyzwaniem dla organizacji jest także określenie czasu trwania migracji. Aspekt ten w dużej mierze zależy od czynników indywidualnych, takich jak wielkość organizacji, stopień jej rozwoju czy też poziom przygotowania do zmiany. Niemal 36 proc. specjalistów uważa, że migracja z CentOS w ich firmie potrwa krócej niż 3 miesiące, z kolei około 26 proc. szacuje ten czas na ponad rok^[5]. Jak podkreśla Tomasz Dziedzic, cały proces jest złożony i składa się z kilku etapów. Przejście przez każdy z nich jest konieczne dla zapewnienia bezpieczeństwa i zgodności.

– Na początku należy przeprowadzić audyt infrastruktury IT w organizacji, czyli zidentyfikować wszystkie komponenty systemu, które muszą zostać zaktualizowane lub zmienione. Sam wybór nowej dystrybucji Linuxa wymaga wielu analiz i może okazać się czasochłonny. Dostępnych opcji jest wiele, jak choćby CentOS Stream, Fedora, EuroLinux, Alma Linux czy Rocky Linux. Każda ma swoje zalety i wady. Do największych problemów, na które mogą natrafić organizacje, należą – w zależności od dystrybucji – brak profesjonalnego wsparcia technicznego, koszty licencji lub brak kompatybilności z Red Hat Enterprise Linux (RHEL). Po dokonaniu wyboru konieczne jest sprawdzenie, które aplikacje będą współdziałać z nową dystrybucją, a które należy do niej dostosować. Dopiero po ustaleniu wszystkich tych kwestii możliwe jest przygotowanie planu migracji i jego wdrożenie – dodaje Tomasz Dziedzic, CTO Linux Polska.

Choć CentOS był – i nadal jest – jedną z najpopularniejszych dystrybucji Linuxa, jego wymiana jest konieczna. Proces migracji może wiązać się z wieloma wyzwaniami, ale tylko w ten sposób organizacje są w stanie zapewnić sobie bezpieczny, nowoczesny rozwój.

^[1] Open Source Initiative, Eclipse Foundation, Perforce OpenLogic, 2025 State of Open Source Report,

^[2] Jak wyżej.

^[3] Jak wyżej.

^[4] Jak wyżej.

^[5] Jak wyżej.