Nyligen på Elastic-bloggen , som rapporterar att de viktigaste säkerhetsfunktionerna i Elasticsearch, som släpptes i öppen källkod för mer än ett år sedan, nu är gratis för användare.
Det officiella blogginlägget innehåller de "rätta" orden om att öppen källkod ska vara gratis och att projektägarna bygger sin verksamhet på andra ytterligare funktioner som de erbjuder för företagslösningar. Nu inkluderar basversionerna av version 6.8.0 och 7.1.0 följande säkerhetsfunktioner, tidigare endast tillgängliga med ett guldabonnemang:
- TLS för krypterad kommunikation.
- Fil och ursprungligt område för att skapa och hantera användarposter.
- Hantera användaråtkomst till API och rollbaserat kluster; Fleranvändaråtkomst till Kibana är tillåten med Kibana Spaces.
Att överföra säkerhetsfunktioner till den fria sektionen är dock inte en bred gest, utan ett försök att skapa avstånd mellan en kommersiell produkt och dess huvudproblem.
Och han har några seriösa.
Frågan "Elastic Leaked" returnerar 13,3 miljoner sökresultat på Google. Imponerande, eller hur? Efter att ha släppt projektets säkerhetsfunktioner till öppen källkod, vilket en gång verkade vara en bra idé, började Elastic få allvarliga problem med dataläckor. Faktum är att grundversionen förvandlades till ett såll, eftersom ingen verkligen stödde samma säkerhetsfunktioner.
En av de mest ökända dataläckorna från en elastisk server var förlusten av 57 miljoner data från amerikanska medborgare, om vilken i december 2018 (senare visade det sig att 82 miljoner skivor faktiskt läckte). Sedan, i december 2018, stals data från 32 miljoner människor på grund av säkerhetsproblem med Elastic i Brasilien. I mars 2019 läckte "bara" 250 000 konfidentiella dokument, inklusive juridiska, från en annan elastisk server. Och detta är bara den första söksidan för frågan vi nämnde.
Faktum är att hackningen fortsätter till denna dag och började kort efter att säkerhetsfunktionerna togs bort av utvecklarna själva och överfördes till öppen källkod.
Läsaren kan anmärka: "Vad då? Tja, de har säkerhetsproblem, men vem har inte det?”
Och nu uppmärksamhet.
Frågan är att Elastic före denna måndag med gott samvete tog pengar från kunder för ett såll som heter säkerhetsfunktioner, som man släppte till öppen källkod redan i februari 2018, det vill säga för cirka 15 månader sedan. Utan att ta på sig några betydande kostnader för att stödja dessa funktioner, tog företaget regelbundet pengar för dem från guld- och premiumabonnenter från företagskundsegmentet.
Vid något tillfälle blev säkerhetsproblemen så giftiga för företaget, och kundklagomål blev så hotfulla att girigheten hamnade i ryggen. Men istället för att återuppta utvecklingen och "lappa" hålen i sitt eget projekt, på grund av vilket miljontals dokument och personliga uppgifter från vanliga människor blev offentliga, kastade Elastic säkerhetsfunktioner i den fria versionen av elasticsearch. Och han presenterar detta som en stor fördel och ett bidrag till öppen källkod.
I ljuset av sådana "effektiva" lösningar ser den andra delen av blogginlägget extremt märkligt ut, på grund av vilket vi faktiskt uppmärksammade den här historien. Det handlar om - den officiella Kubernetes-operatören för Elasticsearch och Kibana.
Utvecklarna, med ett helt seriöst ansiktsuttryck, säger att på grund av inkluderingen av säkerhetsfunktioner i det grundläggande kostnadsfria paketet med elasticsearch-säkerhetsfunktioner, kommer belastningen på användaradministratörer av dessa lösningar att minska. Och i allmänhet är allt bra.
"Vi kan säkerställa att alla kluster som lanseras och hanteras av ECK kommer att skyddas som standard från lansering, utan ytterligare börda för administratörer", står det i den officiella bloggen.
Hur lösningen, övergiven och inte riktigt stödd av de ursprungliga utvecklarna, som under det senaste året har förvandlats till en universell piskpojke, kommer att ge användarna säkerhet, är utvecklarna tysta.
Källa: will.com