Së fundmi në blogun Elastic
Postimi zyrtar i blogut përmban fjalët "korrekte" që burimi i hapur duhet të jetë pa pagesë dhe që pronarët e projekteve e ndërtojnë biznesin e tyre në funksione të tjera shtesë që ata ofrojnë për zgjidhjet e ndërmarrjeve. Tani ndërtimet bazë të versioneve 6.8.0 dhe 7.1.0 përfshijnë funksionet e mëposhtme të sigurisë, të disponueshme më parë vetëm me një abonim ari:
- TLS për komunikim të koduar.
- Skedari dhe sfera vendase për krijimin dhe menaxhimin e hyrjeve të përdoruesve.
- Menaxho aksesin e përdoruesit në API dhe grupin e bazuar në role; Qasja me shumë përdorues në Kibana lejohet duke përdorur Kibana Spaces.
Megjithatë, transferimi i funksioneve të sigurisë në seksionin falas nuk është një gjest i gjerë, por një përpjekje për të krijuar distancë midis një produkti komercial dhe problemeve kryesore të tij.
Dhe ai ka disa serioze.
Pyetja "Elastic Leaked" kthen 13,3 milion rezultate kërkimi në Google. Impresionuese, apo jo? Pas lëshimit të funksioneve të sigurisë së projektit në burim të hapur, që dikur dukej si një ide e mirë, Elastic filloi të kishte probleme serioze me rrjedhjet e të dhënave. Në fakt, versioni bazë u shndërrua në një sitë, pasi askush nuk i mbështeti të njëjtat funksione sigurie.
Një nga rrjedhjet më famëkeqe të të dhënave nga një server elastik ishte humbja e 57 milionë të dhënave të qytetarëve amerikanë, rreth të cilave
Në fakt, hakerimi vazhdon edhe sot e kësaj dite dhe filloi menjëherë pasi funksionet e sigurisë u hoqën nga vetë zhvilluesit dhe u transferuan në kodin me burim të hapur.
Lexuesi mund të vërejë: “Pra, çfarë? Epo, ata kanë probleme sigurie, por kush nuk ka?”
Dhe tani vëmendje.
Pyetja është se para kësaj të hëne, Elastic, me ndërgjegje të pastër, u merrte para klientëve për një sitë të quajtur funksionet e sigurisë, të cilat i lëshoi në kod të hapur në shkurt 2018, pra rreth 15 muaj më parë. Pa kryer ndonjë kosto të konsiderueshme për të mbështetur këto funksione, kompania merrte rregullisht para për to nga abonentët ari dhe premium nga segmenti i klientëve të ndërmarrjeve.
Në një moment, problemet e sigurisë u bënë kaq toksike për kompaninë dhe ankesat e klientëve u bënë aq kërcënuese, saqë lakmia zuri vendin e dytë. Sidoqoftë, në vend që të rifillonte zhvillimin dhe të "rregullonte" vrimat në projektin e vet, për shkak të të cilit miliona dokumente dhe të dhëna personale të njerëzve të zakonshëm hynë në akses publik, Elastic hodhi funksionet e sigurisë në versionin falas të elasticsearch. Dhe këtë ai e paraqet si një përfitim dhe kontribut të madh për kauzën e kodit të hapur.
Në dritën e zgjidhjeve të tilla "efektive", pjesa e dytë e postimit në blog duket jashtëzakonisht e çuditshme, për shkak të së cilës ne, në fakt, i kushtuam vëmendje kësaj historie. Bëhet fjalë për
Zhvilluesit, me një shprehje krejtësisht serioze në fytyrat e tyre, thonë se për shkak të përfshirjes së funksioneve të sigurisë në paketën bazë falas të funksioneve të sigurisë elasticsearch, ngarkesa për administratorët e përdoruesve të këtyre zgjidhjeve do të reduktohet. Dhe në përgjithësi, gjithçka është e shkëlqyeshme.
“Ne mund të sigurojmë që të gjitha grupimet e lançuara dhe të menaxhuara nga ECK do të mbrohen si parazgjedhje nga lëshimi, pa asnjë barrë shtesë për administratorët,” thuhet në blogun zyrtar.
Se si zgjidhja, e braktisur dhe e pambështetur realisht nga zhvilluesit origjinalë, e cila gjatë vitit të kaluar është shndërruar në një djalë universal fshikullues, do t'u sigurojë përdoruesve siguri, zhvilluesit heshtin.
Burimi: www.habr.com