Наскоро в блога на Elastic , който съобщава, че основните функции за сигурност на Elasticsearch, пуснати в пространството с отворен код преди повече от година, вече са безплатни за потребителите.
Официалната публикация в блога съдържа „правилните“ думи, че отвореният код трябва да бъде безплатен и че собствениците на проекта изграждат своя бизнес върху други допълнителни функции, които предлагат за корпоративни решения. Сега базовите компилации на версии 6.8.0 и 7.1.0 включват следните функции за сигурност, достъпни преди това само със златен абонамент:
- TLS за криптирана комуникация.
- Файл и собствена област за създаване и управление на потребителски записи.
- Управление на потребителския достъп до API и базиран на роли клъстер; Достъпът на много потребители до Kibana е разрешен чрез Kibana Spaces.
Прехвърлянето на функциите за сигурност към безплатния раздел обаче не е широк жест, а опит за създаване на дистанция между търговския продукт и основните му проблеми.
И той има някои сериозни.
Заявката „Elastic Leaked“ връща 13,3 милиона резултата от търсене в Google. Впечатляващо, нали? След пускането на функциите за сигурност на проекта с отворен код, което някога изглеждаше като добра идея, Elastic започна да има сериозни проблеми с изтичането на данни. Всъщност основната версия се превърна в сито, тъй като никой не поддържаше същите тези функции за сигурност.
Едно от най-известните изтичания на данни от еластичен сървър беше загубата на 57 милиона данни на американски граждани, за които през декември 2018 г. (по-късно се оказа, че всъщност са изтекли 82 милиона записа). След това, през декември 2018 г., поради проблеми със сигурността с Elastic в Бразилия, данните на 32 милиона души бяха откраднати. През март 2019 г. „само“ 250 000 поверителни документа, включително юридически, бяха изтекли от друг еластичен сървър. И това е само първата страница за търсене на заявката, която споменахме.
Всъщност хакерството продължава и до днес и започна малко след като функциите за сигурност бяха премахнати от самите разработчици и прехвърлени към код с отворен код.
Читателят може да отбележи: „И какво от това? Е, те имат проблеми със сигурността, но кой няма?“
А сега внимание.
Въпросът е, че преди този понеделник Elastic с чиста съвест взе пари от клиенти за сито, наречено функции за сигурност, което пусна в отворен код през февруари 2018 г., тоест преди около 15 месеца. Без да прави значителни разходи за поддържане на тези функции, компанията редовно вземаше пари за тях от златни и премиум абонати от корпоративния клиентски сегмент.
В един момент проблемите със сигурността станаха толкова токсични за компанията, а оплакванията на клиентите станаха толкова заплашителни, че алчността остана на заден план. Въпреки това, вместо да възобнови разработката и да „закърпи“ дупките в собствения си проект, поради които милиони документи и лични данни на обикновени хора станаха публични, Elastic хвърли функции за сигурност в безплатната версия на elasticsearch. И той представя това като голяма полза и принос към каузата с отворен код.
В светлината на такива „ефективни“ решения втората част от публикацията в блога изглежда изключително странна, поради което всъщност обърнахме внимание на тази история. Това е за - официалният оператор на Kubernetes за Elasticsearch и Kibana.
Разработчиците, с напълно сериозно изражение на лицата си, казват, че поради включването на функции за сигурност в основния безплатен пакет от функции за сигурност на elasticsearch, натоварването на потребителските администратори на тези решения ще бъде намалено. И като цяло всичко е супер.
„Можем да гарантираме, че всички клъстери, стартирани и управлявани от ECK, ще бъдат защитени по подразбиране от стартирането, без допълнителна тежест за администраторите“, се казва в официалния блог.
Как решението, изоставено и неподдържано от първоначалните разработчици, което през изминалата година се превърна в универсално момче за разбиване, ще осигури на потребителите сигурност, разработчиците мълчат.
Източник: www.habr.com