Onlangs op die Elastic blog , wat berig dat die hoofsekuriteitsfunksies van Elasticsearch, wat meer as 'n jaar gelede in die oopbronruimte vrygestel is, nou gratis is vir gebruikers.
Die amptelike blogplasing bevat die “korrekte” woorde dat oopbron gratis moet wees en dat die projekeienaars hul besigheid bou op ander bykomende funksies wat hulle vir ondernemingsoplossings bied. Nou bevat die basisbou van weergawes 6.8.0 en 7.1.0 die volgende sekuriteitsfunksies, wat voorheen slegs met 'n goue intekening beskikbaar was:
- TLS vir geïnkripteer kommunikasie.
- Lêer en inheemse ryk vir die skep en bestuur van gebruikersinskrywings.
- Bestuur gebruikertoegang tot API en rolgebaseerde groepering; Multi-gebruiker toegang tot Kibana word toegelaat met behulp van Kibana Spaces.
Die oordrag van sekuriteitsfunksies na die gratis afdeling is egter nie 'n breë gebaar nie, maar 'n poging om afstand te skep tussen 'n kommersiële produk en sy hoofprobleme.
En hy het 'n paar ernstige.
Die navraag "Elastic Leaked" gee 13,3 miljoen soekresultate op Google. Indrukwekkend, is dit nie? Nadat die projek se sekuriteitsfunksies na oopbron vrygestel is, wat eens na 'n goeie idee gelyk het, het Elastic ernstige probleme met datalekkasies begin ondervind. Trouens, die basiese weergawe het in 'n sif verander, aangesien niemand regtig dieselfde sekuriteitsfunksies ondersteun het nie.
Een van die mees berugte datalekkasies vanaf 'n elastiese bediener was die verlies van 57 miljoen data van Amerikaanse burgers, waaroor in Desember 2018 (dit het later geblyk dat 82 miljoen rekords eintlik uitgelek het). Toe, in Desember 2018, as gevolg van sekuriteitsprobleme met Elastic in Brasilië, is die data van 32 miljoen mense gesteel. In Maart 2019 is “slegs” 250 000 vertroulike dokumente, insluitend wettiges, van 'n ander elastiese bediener gelek. En dit is slegs die eerste soekbladsy vir die navraag wat ons genoem het.
Trouens, inbraak gaan voort tot vandag toe en het begin kort nadat die sekuriteitsfunksies deur die ontwikkelaars self verwyder is en na oopbronkode oorgeplaas is.
Die leser kan opmerk: “Wat dan? Wel, hulle het sekuriteitsprobleme, maar wie het nie?”
En nou aandag.
Die vraag is dat Elastic voor hierdie Maandag, met 'n skoon gewete, geld van kliënte geneem het vir 'n sif genaamd sekuriteitsfunksies, wat hy in Februarie 2018, dit wil sê sowat 15 maande gelede, in oopbron vrygestel het. Sonder om enige noemenswaardige koste aan te gaan om hierdie funksies te ondersteun, het die maatskappy gereeld geld daarvoor geneem van goud- en premium-intekenare uit die ondernemingskliëntsegment.
Op 'n stadium het sekuriteitsprobleme so giftig vir die maatskappy geword, en klante se klagtes het so dreigend geword dat gierigheid 'n agterste sitplek gekry het. In plaas daarvan om die ontwikkeling te hervat en die gate in sy eie projek te “lap”, as gevolg waarvan miljoene dokumente en persoonlike data van gewone mense publieke toegang verkry het, het Elastic egter sekuriteitsfunksies in die gratis weergawe van elasticsearch gegooi. En hy bied dit aan as 'n groot voordeel en bydrae tot die open source saak.
In die lig van sulke "effektiewe" oplossings lyk die tweede deel van die blogpos uiters vreemd, en daarom het ons in werklikheid aandag aan hierdie storie gegee. Dit gaan oor - die amptelike Kubernetes-operateur vir Elasticsearch en Kibana.
Die ontwikkelaars, met 'n heeltemal ernstige uitdrukking op hul gesigte, sê dat as gevolg van die insluiting van sekuriteitsfunksies in die basiese gratis pakket van elasticsearch-sekuriteitsfunksies, die las op gebruikersadministrateurs van hierdie oplossings verminder sal word. En oor die algemeen is alles wonderlik.
"Ons kan verseker dat alle groepe wat deur ECK geloods en bestuur word, by verstek beskerm sal word teen bekendstelling, met geen bykomende las op administrateurs nie," lui die amptelike blog.
Hoe die oplossing, verlate en nie werklik deur die oorspronklike ontwikkelaars ondersteun nie, wat die afgelope jaar in 'n universele sweepseun verander het, gebruikers sekuriteit sal bied, swyg die ontwikkelaars.
Bron: will.com
