Së fundmi në blogun Elastic , i cili raporton se funksionet kryesore të sigurisë të Elasticsearch, të lëshuara në hapësirën me burim të hapur më shumë se një vit më parë, tani janë falas për përdoruesit.
Postimi zyrtar i blogut përmban fjalët "korrekte" që burimi i hapur duhet të jetë pa pagesë dhe që pronarët e projekteve e ndërtojnë biznesin e tyre në funksione të tjera shtesë që ata ofrojnë për zgjidhjet e ndërmarrjeve. Tani ndërtimet bazë të versioneve 6.8.0 dhe 7.1.0 përfshijnë funksionet e mëposhtme të sigurisë, të disponueshme më parë vetëm me një abonim ari:
- TLS për komunikim të koduar.
- Skedari dhe sfera vendase për krijimin dhe menaxhimin e hyrjeve të përdoruesve.
- Menaxho aksesin e përdoruesit në API dhe grupin e bazuar në role; Qasja me shumë përdorues në Kibana lejohet duke përdorur Kibana Spaces.
Megjithatë, transferimi i funksioneve të sigurisë në seksionin falas nuk është një gjest i gjerë, por një përpjekje për të krijuar distancë midis një produkti komercial dhe problemeve kryesore të tij.
Dhe ai ka disa serioze.
Pyetja "Elastic Leaked" kthen 13,3 milion rezultate kërkimi në Google. Impresionuese, apo jo? Pas lëshimit të funksioneve të sigurisë së projektit në burim të hapur, që dikur dukej si një ide e mirë, Elastic filloi të kishte probleme serioze me rrjedhjet e të dhënave. Në fakt, versioni bazë u shndërrua në një sitë, pasi askush nuk i mbështeti të njëjtat funksione sigurie.
Një nga rrjedhjet më famëkeqe të të dhënave nga një server elastik ishte humbja e 57 milionë të dhënave të qytetarëve amerikanë, rreth të cilave në dhjetor 2018 (më vonë rezultoi se 82 milionë regjistrime u zbuluan në të vërtetë). Më pas, në dhjetor 2018, për shkak të problemeve të sigurisë me Elastic në Brazil, u vodhën të dhënat e 32 milionë njerëzve. Në mars 2019, "vetëm" 250 dokumente konfidenciale, përfshirë ato ligjore, u zbuluan nga një server tjetër elastik. Dhe kjo është vetëm faqja e parë e kërkimit për pyetjen që përmendëm.
Në fakt, hakerimi vazhdon edhe sot e kësaj dite dhe filloi menjëherë pasi funksionet e sigurisë u hoqën nga vetë zhvilluesit dhe u transferuan në kodin me burim të hapur.
Lexuesi mund të vërejë: “Pra, çfarë? Epo, ata kanë probleme sigurie, por kush nuk ka?”
Dhe tani vëmendje.
Pyetja është se para kësaj të hëne, Elastic, me ndërgjegje të pastër, u merrte para klientëve për një sitë të quajtur funksionet e sigurisë, të cilat i lëshoi në kod të hapur në shkurt 2018, pra rreth 15 muaj më parë. Pa kryer ndonjë kosto të konsiderueshme për të mbështetur këto funksione, kompania merrte rregullisht para për to nga abonentët ari dhe premium nga segmenti i klientëve të ndërmarrjeve.
Në një moment, problemet e sigurisë u bënë kaq toksike për kompaninë dhe ankesat e klientëve u bënë aq kërcënuese, saqë lakmia zuri vendin e dytë. Sidoqoftë, në vend që të rifillonte zhvillimin dhe të "rregullonte" vrimat në projektin e vet, për shkak të të cilit miliona dokumente dhe të dhëna personale të njerëzve të zakonshëm hynë në akses publik, Elastic hodhi funksionet e sigurisë në versionin falas të elasticsearch. Dhe këtë ai e paraqet si një përfitim dhe kontribut të madh për kauzën e kodit të hapur.
Në dritën e zgjidhjeve të tilla "efektive", pjesa e dytë e postimit në blog duket jashtëzakonisht e çuditshme, për shkak të së cilës ne, në fakt, i kushtuam vëmendje kësaj historie. Bëhet fjalë për - operatori zyrtar Kubernetes për Elasticsearch dhe Kibana.
Zhvilluesit, me një shprehje krejtësisht serioze në fytyrat e tyre, thonë se për shkak të përfshirjes së funksioneve të sigurisë në paketën bazë falas të funksioneve të sigurisë elasticsearch, ngarkesa për administratorët e përdoruesve të këtyre zgjidhjeve do të reduktohet. Dhe në përgjithësi, gjithçka është e shkëlqyeshme.
“Ne mund të sigurojmë që të gjitha grupimet e lançuara dhe të menaxhuara nga ECK do të mbrohen si parazgjedhje nga lëshimi, pa asnjë barrë shtesë për administratorët,” thuhet në blogun zyrtar.
Se si zgjidhja, e braktisur dhe e pambështetur realisht nga zhvilluesit origjinalë, e cila gjatë vitit të kaluar është shndërruar në një djalë universal fshikullues, do t'u sigurojë përdoruesve siguri, zhvilluesit heshtin.
Burimi: www.habr.com