Äskettäin Elastic-blogissa , joka raportoi, että yli vuosi sitten avoimeen lähdekoodiin julkaistun Elasticsearchin tärkeimmät suojaustoiminnot ovat nyt käyttäjille ilmaisia.
Virallinen blogikirjoitus sisältää "oikeat" sanat, että avoimen lähdekoodin tulee olla ilmainen ja että projektien omistajat rakentavat liiketoimintaansa muiden yritysratkaisuille tarjoamiensa lisätoimintojen varaan. Nyt versioiden 6.8.0 ja 7.1.0 perusversiot sisältävät seuraavat suojaustoiminnot, jotka olivat aiemmin saatavilla vain kultaisella tilauksella:
- TLS salattua viestintää varten.
- Tiedosto- ja natiivialue käyttäjätilien luomiseen ja hallintaan.
- Hallinnoi käyttäjien pääsyä sovellusliittymään ja roolipohjaiseen klusteriin; Usean käyttäjän pääsy Kibanaan on sallittu Kibana Spaces -tilojen avulla.
Turvatoimintojen siirtäminen ilmaisosioon ei kuitenkaan ole laaja ele, vaan yritys luoda etäisyyttä kaupallisen tuotteen ja sen pääongelmien välille.
Ja hänellä on vakaviakin.
Haku "Elastic Leaked" palauttaa 13,3 miljoonaa hakutulosta Googlessa. Vaikuttavaa, eikö? Julkaisttuaan projektin suojaustoiminnot avoimeen lähdekoodiin, mikä aikoinaan tuntui hyvältä ajatukselta, Elasticilla alkoi olla vakavia tietovuodongelmia. Itse asiassa perusversio muuttui seulaksi, koska kukaan ei todellakaan tukenut näitä samoja suojaustoimintoja.
Yksi korkean profiilin tietovuodoista joustavalta palvelimelta oli 57 miljoonan Yhdysvaltain kansalaisen tiedon menetys, josta joulukuussa 2018 (myöhemmin kävi ilmi, että 82 miljoonaa tietuetta todella vuoti). Sitten joulukuussa 2018 Brasilian Elasticin turvallisuusongelmien vuoksi varastettiin 32 miljoonan ihmisen tiedot. Maaliskuussa 2019 toiselta joustavalta palvelimelta vuoti ”vain” 250 000 luottamuksellista asiakirjaa, lailliset mukaan lukien. Ja tämä on vain mainitsemamme kyselyn ensimmäinen hakusivu.
Itse asiassa hakkerointi jatkuu tähän päivään asti ja alkoi pian sen jälkeen, kun kehittäjät itse poistivat suojaustoiminnot ja siirsivät ne avoimeen lähdekoodiin.
Lukija voi huomauttaa: ”Mitä sitten? No, heillä on turvallisuusongelmia, mutta kenellä ei ole?"
Ja nyt huomio.
Kysymys on siitä, että ennen tätä maanantaita Elastic vei puhtaalla omallatunnolla asiakkailta rahaa turvatoiminnoiksi kutsuttuun seulaan, jonka se julkaisi avoimeen lähdekoodiin jo helmikuussa 2018, eli noin 15 kuukautta sitten. Ilman merkittäviä kustannuksia näiden toimintojen tukemisesta, yhtiö otti säännöllisesti rahaa niihin kulta- ja premium-tilaajilta yritysasiakassegmentistä.
Jossain vaiheessa turvallisuusongelmat muuttuivat yritykselle niin myrkyllisiksi ja asiakkaiden valitukset niin uhkaavia, että ahneus jäi taka-alalle. Sen sijaan, että Elastic olisi jatkanut kehitystä ja "korjannut" omassa projektissaan olevia aukkoja, joiden vuoksi miljoonat asiakirjat ja tavallisten ihmisten henkilötiedot pääsivät julkiseen käyttöön, Elastic heitti turvatoiminnot elasticsearchin ilmaiseen versioon. Ja hän esittää tämän suurena hyödynä ja panoksena avoimen lähdekoodin tarkoitukseen.
Tällaisten "tehokkaiden" ratkaisujen valossa blogikirjoituksen toinen osa näyttää äärimmäisen oudolta, minkä vuoksi itse asiassa kiinnitimme huomiota tähän tarinaan. Se on noin - virallinen Kubernetes-operaattori Elasticsearchille ja Kibanalle.
Kehittäjät täysin vakavalla ilmeellä sanovat, että turvatoimintojen sisällyttämisen elasticsearch-turvatoimintojen peruspakettiin vähentävät näiden ratkaisujen käyttäjien ylläpitäjien kuormitusta. Ja ylipäänsä kaikki on hienoa.
"Voimme varmistaa, että kaikki ECK:n käynnistämät ja hallinnoimat klusterit ovat oletusarvoisesti suojattuja käynnistämisestä ilman ylimääräistä taakkaa järjestelmänvalvojille", virallisessa blogissa sanotaan.
Kuinka alkuperäisten kehittäjien hylätty ja varsinaisesti tukematon ratkaisu, joka on viimeisen vuoden aikana muuttunut yleismaailmalliseksi piiskapoikaksi, tarjoaa käyttäjille turvaa, kehittäjät vaikenevat.
Lähde: will.com