Nedavno na blogu Elastic , koji izvještava da su glavne sigurnosne funkcije Elasticsearcha, puštene u prostor otvorenog koda prije više od godinu dana, sada besplatne za korisnike.
Službeni blog post sadrži "ispravne" riječi da otvoreni kod treba biti besplatan i da vlasnici projekta grade svoje poslovanje na drugim dodatnim funkcijama koje nude za poslovna rješenja. Sada osnovne verzije verzija 6.8.0 i 7.1.0 uključuju sljedeće sigurnosne funkcije, prethodno dostupne samo uz zlatnu pretplatu:
- TLS za šifriranu komunikaciju.
- Datoteka i izvorno područje za stvaranje i upravljanje korisničkim unosima.
- Upravljanje korisničkim pristupom API-ju i klasteru temeljenom na ulogama; Višekorisnički pristup Kibani dopušten je korištenjem Kibana Spaces.
Međutim, prijenos sigurnosnih funkcija u besplatni dio nije široka gesta, već pokušaj stvaranja udaljenosti između komercijalnog proizvoda i njegovih glavnih problema.
A ima i ozbiljnih.
Upit “Elastic Leaked” vraća 13,3 milijuna rezultata pretraživanja na Googleu. Impresivno, zar ne? Nakon što je pustio sigurnosne funkcije projekta u otvoreni kod, što se nekada činilo kao dobra ideja, Elastic je počeo imati ozbiljnih problema s curenjem podataka. Zapravo, osnovna verzija se pretvorila u rešeto, jer nitko nije stvarno podržavao te iste sigurnosne funkcije.
Jedno od najozloglašenijih curenja podataka s elastičnog poslužitelja bio je gubitak 57 milijuna podataka američkih građana, o čemu u prosincu 2018. (kasnije se pokazalo da je zapravo procurilo 82 milijuna zapisa). Zatim su u prosincu 2018. zbog sigurnosnih problema s Elasticom u Brazilu ukradeni podaci 32 milijuna ljudi. U ožujku 2019. "samo" 250 povjerljivih dokumenata, uključujući pravne, procurilo je s drugog elastičnog poslužitelja. A ovo je samo prva stranica pretraživanja za upit koji smo spomenuli.
Zapravo, hakiranje se nastavlja do danas i počelo je nedugo nakon što su sami programeri uklonili sigurnosne funkcije i prenijeli ih na otvoreni kod.
Čitatelj može primijetiti: “Pa što? Pa, oni imaju sigurnosnih problema, ali tko ih nema?"
A sada pažnja.
Pitanje je da je prije ovog ponedjeljka Elastic mirne savjesti od klijenata uzimao novac za sito zvano sigurnosne funkcije koje je pustio u open source još u veljači 2018., dakle prije 15-ak mjeseci. Bez značajnih troškova za podršku ovim funkcijama, tvrtka je redovito uzimala novac za njih od zlatnih i premium pretplatnika iz segmenta poslovnih klijenata.
U nekom su trenutku sigurnosni problemi postali toliko toksični za tvrtku, a pritužbe kupaca toliko prijeteće da je pohlepa pala u drugi plan. No, umjesto da nastavi s razvojem i “krpa” rupe u vlastitom projektu, zbog kojih su milijuni dokumenata i osobnih podataka običnih ljudi otišli u javni pristup, Elastic je sigurnosne funkcije ubacio u besplatnu verziju elasticsearcha. I on to predstavlja kao veliku dobrobit i doprinos cilju otvorenog koda.
U svjetlu ovakvih “učinkovitih” rješenja krajnje čudno izgleda drugi dio blog posta, zbog kojeg smo, zapravo, i obratili pozornost na ovu priču. Riječ je o - službeni Kubernetes operater za Elasticsearch i Kibana.
Programeri s potpuno ozbiljnim izrazom lica poručuju da će se zbog uključivanja sigurnosnih funkcija u osnovni besplatni paket sigurnosnih funkcija elasticsearch smanjiti opterećenje korisničkih administratora ovih rješenja. I općenito, sve je super.
"Možemo osigurati da će svi klasteri koje je ECK pokrenuo i kojima upravlja biti zaštićeni prema zadanim postavkama od pokretanja, bez dodatnog opterećenja za administratore", stoji u službenom blogu.
Kako će rješenje, napušteno i ne baš podržano od originalnih developera, koje se u posljednjih godinu dana pretvorilo u univerzalnog dječaka za bičevanje, pružiti korisnicima sigurnost, developeri šute.
Izvor: www.habr.com