Recent pe blogul Elastic , care raportează că principalele funcții de securitate ale Elasticsearch, lansate în spațiul open source cu mai bine de un an în urmă, sunt acum gratuite pentru utilizatori.
Postarea oficială pe blog conține cuvintele „corecte” conform cărora open source ar trebui să fie gratuit și că proprietarii de proiecte își construiesc afacerea pe alte funcții suplimentare pe care le oferă pentru soluțiile de întreprindere. Acum, versiunile de bază ale versiunilor 6.8.0 și 7.1.0 includ următoarele funcții de securitate, disponibile anterior doar cu un abonament Gold:
- TLS pentru comunicații criptate.
- Fișier și tărâm nativ pentru crearea și gestionarea intrărilor utilizatorilor.
- Gestionați accesul utilizatorilor la API și la clusterul bazat pe roluri; Accesul multi-utilizator la Kibana este permis folosind Kibana Spaces.
Totuși, transferul funcțiilor de securitate către secțiunea gratuită nu este un gest larg, ci o încercare de a crea distanță între un produs comercial și principalele sale probleme.
Și are unele serioase.
Interogarea „Elastic Leaked” returnează 13,3 milioane de rezultate de căutare pe Google. Impresionant, nu-i așa? După ce a lansat funcțiile de securitate ale proiectului în open source, ceea ce odată părea o idee bună, Elastic a început să aibă probleme serioase cu scurgerile de date. De fapt, versiunea de bază s-a transformat într-o sită, deoarece nimeni nu a suportat cu adevărat aceleași funcții de securitate.
Una dintre cele mai notorii scurgeri de date de la un server elastic a fost pierderea a 57 de milioane de date ale cetățenilor americani, despre care în decembrie 2018 (mai târziu s-a dovedit că 82 de milioane de înregistrări au fost de fapt scurse). Apoi, în decembrie 2018, din cauza problemelor de securitate cu Elastic în Brazilia, datele a 32 de milioane de oameni au fost furate. În martie 2019, „doar” 250 de documente confidențiale, inclusiv cele legale, au fost scurse de pe un alt server elastic. Și aceasta este doar prima pagină de căutare pentru interogarea pe care am menționat-o.
De fapt, hacking-ul continuă până astăzi și a început la scurt timp după ce funcțiile de securitate au fost eliminate de către dezvoltatori înșiși și transferate în codul sursă deschisă.
Cititorul poate observa: „Si ce? Ei bine, au probleme de securitate, dar cine nu are?”
Și acum atenție.
Întrebarea este că înainte de această luni, Elastic, cu conștiința curată, a luat bani de la clienți pentru o sită numită funcții de securitate, pe care a lansat-o în open source încă din februarie 2018, adică acum vreo 15 luni. Fără a suporta costuri semnificative pentru a susține aceste funcții, compania a luat în mod regulat bani pentru ele de la abonați aur și premium din segmentul de clienți enterprise.
La un moment dat, problemele de securitate au devenit atât de toxice pentru companie, iar plângerile clienților au devenit atât de amenințătoare, încât lăcomia a trecut pe bancheta. Cu toate acestea, în loc să reia dezvoltarea și să „chitească” găurile propriului său proiect, din cauza căruia milioane de documente și date personale ale oamenilor obișnuiți au intrat în acces public, Elastic a introdus funcții de securitate în versiunea gratuită a elasticsearch. Și el prezintă acest lucru ca un mare beneficiu și contribuție la cauza open source.
În lumina unor astfel de soluții „eficiente”, a doua parte a postării de pe blog arată extrem de ciudat, din cauza căruia, de fapt, am acordat atenție acestei povești. Este despre - operatorul oficial Kubernetes pentru Elasticsearch și Kibana.
Dezvoltatorii, cu o expresie complet serioasă pe fețe, spun că, datorită includerii funcțiilor de securitate în pachetul de bază gratuit de funcții de securitate elasticsearch, sarcina administratorilor de utilizatori ai acestor soluții va fi redusă. Și, în general, totul este grozav.
„Ne putem asigura că toate clusterele lansate și gestionate de ECK vor fi protejate implicit de la lansare, fără nicio povară suplimentară pentru administratori”, se arată în blogul oficial.
Cum soluția, abandonată și nu chiar susținută de dezvoltatorii inițiali, care în ultimul an s-a transformat într-un băiat universal, va oferi utilizatorilor securitate, dezvoltatorii tac.
Sursa: www.habr.com