Nemrég az Elastic blogon , amely arról számol be, hogy a több mint egy éve nyílt forráskódú területre kiadott Elasticsearch fő biztonsági funkciói mostantól ingyenesek a felhasználók számára.
A hivatalos blogbejegyzés tartalmazza azokat a „helyes” szavakat, amelyek szerint a nyílt forráskódnak ingyenesnek kell lennie, és a projekttulajdonosok az általuk a vállalati megoldásokhoz kínált további funkciókra építik üzletüket. A 6.8.0-s és 7.1.0-s verziók alapverziói most a következő biztonsági funkciókat tartalmazzák, amelyek korábban csak arany előfizetéssel voltak elérhetők:
- TLS a titkosított kommunikációhoz.
- Fájl és natív tartomány felhasználói bejegyzések létrehozásához és kezeléséhez.
- Felhasználói hozzáférés kezelése az API-hoz és a szerepkör-alapú fürthöz; A Kibana többfelhasználós hozzáférése engedélyezett a Kibana Spaces használatával.
A biztonsági funkciók ingyenes részre átvitele azonban nem egy tág gesztus, hanem egy kereskedelmi termék és annak fő problémái közötti távolság megteremtésének kísérlete.
És vannak komolyak is.
Az „Elastic Leaked” lekérdezés 13,3 millió keresési eredményt ad vissza a Google-on. Lenyűgöző, nem? A projekt biztonsági funkcióinak nyílt forráskódú kiadása után, ami egykor jó ötletnek tűnt, az Elasticnak komoly problémái voltak az adatszivárgással. Valójában az alapverzió szitává változott, mivel senki sem támogatta ezeket a biztonsági funkciókat.
Az egyik leghírhedtebb adatszivárgás egy rugalmas szerverről az volt, hogy 57 millió amerikai állampolgár adatvesztése történt meg, amiről 2018 decemberében (később kiderült, hogy valójában 82 millió rekord szivárgott ki). Aztán 2018 decemberében a brazíliai Elastic biztonsági problémái miatt 32 millió ember adatait lopták el. 2019 márciusában „csak” 250 000 bizalmas dokumentum – köztük jogiak – szivárgott ki egy másik rugalmas szerverről. És ez csak az első keresési oldal az általunk említett lekérdezésnek.
Valójában a hackelés a mai napig tart, és nem sokkal azután kezdődött, hogy maguk a fejlesztők eltávolították a biztonsági funkciókat, és átkerültek a nyílt forráskódba.
Az olvasó megjegyezheti: „Na és mi van? Nos, biztonsági problémáik vannak, de kinek nincsenek?”
És most figyelem.
A kérdés az, hogy e hétfő előtt az Elastic tiszta lelkiismerettel pénzt vett el az ügyfelektől a security functions nevű szitáért, amit még 2018 februárjában, azaz nagyjából 15 hónapja engedett ki nyílt forráskódúvá. Anélkül, hogy jelentős költségekkel járt volna ezeknek a funkcióknak a támogatása, a vállalat rendszeresen vett rá pénzt a nagyvállalati ügyfélszegmens arany- és prémium előfizetőitől.
Egy ponton a biztonsági problémák annyira mérgezővé váltak a cég számára, és az ügyfelek panaszai olyan fenyegetővé váltak, hogy a kapzsiság háttérbe szorult. Az Elastic azonban ahelyett, hogy újrakezdte volna a fejlesztést és „befoltozza” a lyukakat a saját projektjében, ami miatt a hétköznapi emberek több milliónyi dokumentuma és személyes adatai kerültek nyilvánosan hozzáférhetővé, az Elastic biztonsági funkciókat dobott be az elasticsearch ingyenes verziójába. És ezt nagy előnyként és a nyílt forráskódú ügyhöz való hozzájárulásként mutatja be.
Az ilyen „hatékony” megoldások tükrében rendkívül furcsán néz ki a blogbejegyzés második része, ami miatt tulajdonképpen erre a történetre is felfigyeltünk. Ez körülbelül - az Elasticsearch és a Kibana hivatalos Kubernetes üzemeltetője.
A fejlesztők teljesen komoly arckifejezéssel azt mondják, hogy a biztonsági funkciók beépítése az alap ingyenes elasticsearch biztonsági funkciók csomagjába, ezeknek a megoldásoknak a felhasználói rendszergazdáinak terhelése csökkenni fog. És általában minden nagyszerű.
„Gondoskodhatunk arról, hogy az ECK által elindított és kezelt összes fürt alapértelmezés szerint védett legyen az indítástól, anélkül, hogy további terheket róna a rendszergazdákra” – áll a hivatalos blogban.
Hogy az elmúlt egy évben univerzális korbácsfiúvá változott, elhagyott és az eredeti fejlesztők által nem igazán támogatott megoldás hogyan nyújt majd biztonságot a felhasználóknak, arról a fejlesztők hallgatnak.
Forrás: will.com