Неодамна на блогот Еластик , кој известува дека главните безбедносни функции на Elasticsearch, објавени во просторот со отворен код пред повеќе од една година, сега се бесплатни за корисниците.
Официјалниот блог пост ги содржи „точните“ зборови дека софтверот со отворен код треба да биде бесплатен и дека сопствениците на проектот го градат својот бизнис на други дополнителни функции што ги нудат за решенијата на претпријатието. Сега основните изданија на верзиите 6.8.0 и 7.1.0 ги вклучуваат следните безбедносни функции, претходно достапни само со златна претплата:
- TLS за шифрирана комуникација.
- Датотека и мајчин простор за креирање и управување со записи на корисници.
- Управувајте со корисничкиот пристап до API и кластерот заснован на улоги; Повеќекорисничкиот пристап до Kibana е дозволен со користење на Kibana Spaces.
Сепак, префрлањето на безбедносните функции на слободниот дел не е широк гест, туку обид да се создаде растојание помеѓу комерцијалниот производ и неговите главни проблеми.
И тој има некои сериозни.
Прашањето „Elastic Leaked“ враќа 13,3 милиони резултати од пребарувањето на Google. Импресивно, нели? Откако ги објави безбедносните функции на проектот на отворен код, што некогаш изгледаше како добра идеја, Еластик почна да има сериозни проблеми со протекување податоци. Всушност, основната верзија се претвори во сито, бидејќи никој навистина не ги поддржуваше истите овие безбедносни функции.
Едно од најозлогласените протекувања на податоци од еластичен сервер беше загубата на 57 милиони податоци на американски граѓани, за кои во декември 2018 година (подоцна се покажа дека 82 милиони записи всушност биле протечени). Потоа, во декември 2018 година, поради безбедносни проблеми со Еластик во Бразил, беа украдени податоците на 32 милиони луѓе. Во март 2019 година, од друг еластичен сервер протекоа „само“ 250 доверливи документи, вклучувајќи ги и правните. И ова е само првата страница за пребарување за барањето што го споменавме.
Всушност, хакирањето продолжува до ден-денес и започна кратко откако безбедносните функции беа отстранети од самите програмери и префрлени на код со отворен код.
Читателот може да забележи: „Па што? Па, тие имаат безбедносни проблеми, но кој нема?“
И сега внимание.
Прашањето е дека пред овој понеделник, Еластик, со чиста совест, земал пари од клиентите за сито наречено безбедносни функции, кои ги пушти во отворен код уште во февруари 2018 година, односно пред околу 15 месеци. Без да направи значителни трошоци за поддршка на овие функции, компанијата редовно зема пари за нив од претплатниците на злато и премиум од сегментот на клиенти на претпријатијата.
Во одреден момент, безбедносните проблеми станаа толку токсични за компанијата, а поплаките на клиентите станаа толку заканувачки што алчноста застана на задното место. Меѓутоа, наместо да продолжи со развојот и да ги „закрпи“ дупките во сопствениот проект, поради што милиони документи и лични податоци на обичните луѓе отидоа во јавен пристап, Еластик ги фрли безбедносните функции во бесплатната верзија на elasticsearch. И тој го претставува ова како голема придобивка и придонес за каузата со отворен код.
Во светлината на таквите „ефективни“ решенија, вториот дел од објавата на блогот изгледа крајно чудно, поради што ние, всушност, обрнавме внимание на оваа приказна. Тоа е за - официјалниот оператор на Kubernetes за Elasticsearch и Kibana.
Програмерите со сосема сериозен израз на лицата велат дека поради вклучувањето на безбедносните функции во основниот бесплатен пакет на безбедносни функции elasticsearch, ќе се намали оптоварувањето на администраторите на корисниците на овие решенија. И воопшто, сè е одлично.
„Можеме да обезбедиме дека сите кластери што ги лансира и управува ECK ќе бидат стандардно заштитени од стартување, без дополнително оптоварување на администраторите“, се наведува на официјалниот блог.
Како решението, напуштено и навистина не поддржано од оригиналните програмери, кое во текот на изминатата година се претвори во универзално момче за камшикување, ќе им обезбеди сигурност на корисниците, програмерите молчат.
Извор: www.habr.com