اخیراً در وبلاگ الاستیک
پست وبلاگ رسمی حاوی کلمات "درست" است که منبع باز باید رایگان باشد و اینکه صاحبان پروژه کسب و کار خود را بر اساس سایر عملکردهای اضافی که برای راه حل های سازمانی ارائه می دهند ایجاد می کنند. اکنون ساختهای پایه نسخههای 6.8.0 و 7.1.0 شامل عملکردهای امنیتی زیر است که قبلاً فقط با اشتراک طلایی در دسترس بودند:
- TLS برای ارتباطات رمزگذاری شده
- قلمرو فایل و بومی برای ایجاد و مدیریت ورودی های کاربر.
- مدیریت دسترسی کاربر به API و خوشه مبتنی بر نقش؛ دسترسی چند کاربره به Kibana با استفاده از Kibana Spaces مجاز است.
با این حال، انتقال عملکردهای امنیتی به بخش رایگان یک حرکت گسترده نیست، بلکه تلاشی برای ایجاد فاصله بین یک محصول تجاری و مشکلات اصلی آن است.
و او موارد جدی دارد.
پرس و جو "Elastic Leaked" 13,3 میلیون نتیجه جستجو را در گوگل برمی گرداند. چشمگیر است، اینطور نیست؟ پس از انتشار عملکردهای امنیتی پروژه به منبع باز، که زمانی ایده خوبی به نظر می رسید، Elastic شروع به مشکلات جدی با نشت داده ها کرد. در واقع، نسخه اولیه به یک غربال تبدیل شد، زیرا هیچ کس واقعاً از این عملکردهای امنیتی مشابه پشتیبانی نمی کرد.
یکی از بدنام ترین نشت داده ها از یک سرور الاستیک، از دست دادن 57 میلیون داده شهروندان آمریکایی بود که در مورد آن
در واقع، هک کردن تا به امروز ادامه دارد و مدت کوتاهی پس از حذف توابع امنیتی توسط خود توسعه دهندگان و انتقال به کد منبع باز آغاز شد.
خواننده ممکن است متذکر شود: «پس چی؟ خوب، آنها مشکلات امنیتی دارند، اما چه کسی این مشکل را ندارد؟»
و حالا توجه
سوال این است که قبل از دوشنبه، Elastic، با وجدان راحت، پولی را برای غربال به نام توابع امنیتی از مشتریان دریافت کرد که در فوریه 2018، یعنی حدود 15 ماه پیش، آن را به منبع باز عرضه کرد. بدون اینکه هیچ هزینه قابل توجهی برای پشتیبانی از این عملکردها متحمل شود، این شرکت به طور مرتب از مشترکین طلایی و ممتاز از بخش مشتریان سازمانی پول می گرفت.
در مقطعی، مشکلات امنیتی آنقدر برای شرکت سمی شد و شکایات مشتریان آنقدر تهدیدکننده شد که طمع به عقب نشست. با این حال، Elastic به جای از سرگیری توسعه و "وصله کردن" حفره های پروژه خود، که به دلیل آن میلیون ها سند و داده های شخصی افراد عادی به دسترسی عمومی رفت، عملکردهای امنیتی را در نسخه رایگان elasticsearch قرار داد. و او این را به عنوان یک مزیت و کمک بزرگ به علت منبع باز معرفی می کند.
در پرتو چنین راه حل های "موثر"، قسمت دوم پست وبلاگ بسیار عجیب به نظر می رسد، به همین دلیل ما در واقع به این داستان توجه کردیم. این در مورد است
توسعه دهندگان با حالتی کاملا جدی در چهره خود می گویند که به دلیل گنجاندن توابع امنیتی در بسته رایگان اولیه توابع امنیتی elasticsearch، بار مدیران کاربران این راهکارها کاهش می یابد. و به طور کلی همه چیز عالی است.
وبلاگ رسمی میگوید: «ما میتوانیم اطمینان حاصل کنیم که همه خوشههایی که توسط ECK راهاندازی و مدیریت میشوند، بهطور پیشفرض از راهاندازی محافظت میشوند، بدون اینکه بار اضافی بر دوش مدیران باشد».
چگونه این راه حل، رها شده و واقعاً توسط توسعه دهندگان اصلی پشتیبانی نمی شود، که در طول سال گذشته به یک پسر شلاق جهانی تبدیل شده است، امنیت را برای کاربران فراهم می کند، توسعه دهندگان سکوت کرده اند.
منبع: www.habr.com