Yn ddiweddar ar y blog Elastig
Mae'r blogbost swyddogol yn cynnwys y geiriau “cywir” y dylai ffynhonnell agored fod yn rhad ac am ddim a bod perchnogion y prosiect yn adeiladu eu busnes ar swyddogaethau ychwanegol eraill y maent yn eu cynnig ar gyfer datrysiadau menter. Nawr mae'r adeiladau sylfaen o fersiynau 6.8.0 a 7.1.0 yn cynnwys y swyddogaethau diogelwch canlynol, a oedd ar gael yn flaenorol gyda thanysgrifiad aur yn unig:
- TLS ar gyfer cyfathrebu wedi'i amgryptio.
- Ffeil a thir brodorol ar gyfer creu a rheoli cofnodion defnyddwyr.
- Rheoli mynediad defnyddwyr i API a chlwstwr seiliedig ar rôl; Caniateir mynediad aml-ddefnyddiwr i Kibana gan ddefnyddio Kibana Spaces.
Fodd bynnag, nid yw trosglwyddo swyddogaethau diogelwch i'r adran rhad ac am ddim yn ystum eang, ond yn ymgais i greu pellter rhwng cynnyrch masnachol a'i brif broblemau.
Ac mae ganddo rai difrifol.
Mae'r ymholiad “Elastic Leaked” yn dychwelyd 13,3 miliwn o ganlyniadau chwilio ar Google. Yn drawiadol, ynte? Ar ôl rhyddhau swyddogaethau diogelwch y prosiect i ffynhonnell agored, a oedd unwaith yn ymddangos fel syniad da, dechreuodd Elastic gael problemau difrifol gyda gollyngiadau data. Mewn gwirionedd, trodd y fersiwn sylfaenol yn ridyll, gan nad oedd unrhyw un yn cefnogi'r un swyddogaethau diogelwch hyn mewn gwirionedd.
Un o'r gollyngiadau data mwyaf drwg-enwog o weinydd elastig oedd colli 57 miliwn o ddata o ddinasyddion yr Unol Daleithiau, y mae
Mewn gwirionedd, mae hacio yn parhau hyd heddiw a dechreuodd yn fuan ar ôl i'r swyddogaethau diogelwch gael eu tynnu gan y datblygwyr eu hunain a'u trosglwyddo i god ffynhonnell agored.
Gall y darllenydd ddweud: “Felly beth? Wel, mae ganddyn nhw broblemau diogelwch, ond pwy sydd ddim?”
Ac yn awr sylw.
Y cwestiwn yw, cyn y dydd Llun hwn, bod Elastic, gyda chydwybod glir, wedi cymryd arian gan gleientiaid am ridyll o'r enw swyddogaethau diogelwch, a ryddhawyd ganddo i ffynhonnell agored yn ôl ym mis Chwefror 2018, hynny yw, tua 15 mis yn ôl. Heb fynd i unrhyw gostau sylweddol i gefnogi'r swyddogaethau hyn, cymerodd y cwmni arian ar eu cyfer yn rheolaidd gan danysgrifwyr aur a premiwm o'r segment cleient menter.
Ar ryw adeg, daeth problemau diogelwch mor wenwynig i'r cwmni, a daeth cwynion cwsmeriaid mor fygythiol fel bod trachwant yn cymryd sedd gefn. Fodd bynnag, yn lle ailddechrau datblygu a “chlytio” tyllau yn ei brosiect ei hun, ac oherwydd hynny aeth miliynau o ddogfennau a data personol pobl gyffredin i fynediad cyhoeddus, taflodd Elastic swyddogaethau diogelwch i'r fersiwn am ddim o elasticsearch. Ac mae'n cyflwyno hyn fel budd a chyfraniad mawr i'r achos ffynhonnell agored.
Yng ngoleuni atebion “effeithiol” o'r fath, mae ail ran y post blog yn edrych yn rhyfedd iawn, ac oherwydd hynny fe wnaethom ni, mewn gwirionedd, roi sylw i'r stori hon. Mae'n ymwneud
Mae'r datblygwyr, gyda mynegiant hollol ddifrifol ar eu hwynebau, yn dweud, oherwydd cynnwys swyddogaethau diogelwch yn y pecyn sylfaenol am ddim o swyddogaethau diogelwch elastigsearch, bydd y llwyth ar weinyddwyr defnyddwyr yr atebion hyn yn cael ei leihau. Ac yn gyffredinol, mae popeth yn wych.
“Gallwn sicrhau y bydd pob clwstwr sy’n cael ei lansio a’i reoli gan ECK yn cael ei amddiffyn yn ddiofyn rhag ei lansio, heb unrhyw faich ychwanegol ar weinyddwyr,” dywed y blog swyddogol.
Sut y bydd yr ateb, wedi'i adael ac nad yw'n cael ei gefnogi mewn gwirionedd gan y datblygwyr gwreiddiol, sydd dros y flwyddyn ddiwethaf wedi troi'n fachgen chwipio cyffredinol, yn darparu diogelwch i ddefnyddwyr, mae'r datblygwyr yn dawel.
Ffynhonnell: hab.com