Bubar ing blog Elastis , sing nglaporake manawa fungsi keamanan utama Elasticsearch, dirilis ing ruang sumber terbuka luwih saka setahun kepungkur, saiki gratis kanggo pangguna.
Kiriman blog resmi ngemot tembung "bener" sing mbukak sumber kudu gratis lan para pamilik proyek mbangun bisnis ing fungsi tambahan liyane sing ditawakake kanggo solusi perusahaan. Saiki basis versi 6.8.0 lan 7.1.0 kalebu fungsi keamanan ing ngisor iki, sing sadurunge mung kasedhiya kanthi langganan emas:
- TLS kanggo komunikasi sing dienkripsi.
- File lan alam asli kanggo nggawe lan ngatur entri pangguna.
- Ngatur akses pangguna menyang API lan kluster adhedhasar peran; Akses multi pangguna menyang Kibana diidini nggunakake Kibana Spaces.
Nanging, nransfer fungsi keamanan menyang bagean gratis dudu gerakan sing wiyar, nanging minangka upaya kanggo nggawe jarak antarane produk komersial lan masalah utama.
Lan dheweke duwe sawetara sing serius.
Pitakonan "Elastic Leaked" ngasilake 13,3 yuta asil panelusuran ing Google. Nyengsemaken, ta? Sawise ngeculake fungsi keamanan proyek kanggo mbukak sumber, sing nate katon apik, Elastic wiwit ngalami masalah serius babagan bocor data. Nyatane, versi dhasar dadi sieve, amarga ora ana sing ndhukung fungsi keamanan sing padha.
Salah sawijining bocor data sing paling kondhang saka server elastis yaiku kelangan 57 yuta data warga AS, ing Desember 2018 (mengko ternyata 82 yuta cathetan sing bener-bener bocor). Banjur, ing Desember 2018, amarga masalah keamanan karo Elastic ing Brasil, data 32 yuta wong dicolong. Ing Maret 2019, "mung" 250 dokumen rahasia, kalebu dokumen legal, bocor saka server elastis liyane. Lan iki mung kaca telusuran pisanan kanggo pitakon sing kasebut.
Nyatane, hacking terus nganti saiki lan diwiwiti sakcepete sawise fungsi keamanan dibusak dening pangembang dhewe lan ditransfer menyang kode sumber mbukak.
Sing maca bisa uga ujar: "Lho? Ya, dheweke duwe masalah keamanan, nanging sapa sing ora?
Lan saiki manungsa waé.
Pitakonan yaiku sadurunge Senin iki, Elastis, kanthi ati nurani sing resik, njupuk dhuwit saka klien kanggo sieve sing diarani fungsi keamanan, sing dirilis ing open source ing Februari 2018, yaiku, udakara 15 wulan kepungkur. Tanpa mbayar biaya sing signifikan kanggo ndhukung fungsi kasebut, perusahaan kasebut kanthi rutin njupuk dhuwit saka pelanggan emas lan premium saka segmen klien perusahaan.
Ing sawetara titik, masalah keamanan dadi beracun kanggo perusahaan, lan keluhan pelanggan dadi ngancam, mula rakus njupuk kursi mburi. Nanging, tinimbang nerusake pembangunan lan "nambal" bolongan ing proyek dhewe, amarga mayuta-yuta dokumen lan data pribadhi wong biasa mlebu ing akses umum, Elastic mbuwang fungsi keamanan menyang versi gratis elasticsearch. Lan dheweke menehi iki minangka mupangat lan kontribusi gedhe kanggo sabab mbukak sumber.
Ing cahya saka solusi "efektif" kuwi, bagean kapindho postingan blog katon aneh banget, amarga kita, ing kasunyatan, mbayar manungsa waé kanggo crita iki. Iku babagan - operator Kubernetes resmi kanggo Elasticsearch lan Kibana.
Pangembang, kanthi ekspresi serius ing raine, ujar manawa amarga kalebu fungsi keamanan ing paket gratis dhasar fungsi keamanan elasticsearch, beban administrator pangguna saka solusi kasebut bakal suda. Lan umume, kabeh apik.
"Kita bisa mesthekake yen kabeh kluster sing diluncurake lan dikelola dening ECK bakal dilindhungi kanthi standar saka diluncurake, tanpa beban tambahan kanggo pangurus," blog resmi kasebut.
Carane solusi, nilar lan ora tenan didhukung dening pangembang asli, kang liwat taun kepungkur wis dadi boy whipping universal, bakal nyedhiyani kedhaftar karo keamanan, pangembang sing bisu.
Source: www.habr.com