Hivi majuzi kwenye blogi ya Elastic , ambayo inaripoti kuwa kazi kuu za usalama za Elasticsearch, iliyotolewa kwenye nafasi ya chanzo zaidi ya mwaka mmoja uliopita, sasa ni bure kwa watumiaji.
Chapisho rasmi la blogu lina maneno "sahihi" ambayo chanzo huria kinapaswa kuwa bila malipo na kwamba wamiliki wa mradi huunda biashara zao kwa kutumia vipengele vingine vya ziada ambavyo hutoa kwa ufumbuzi wa biashara. Sasa miundo msingi ya matoleo 6.8.0 na 7.1.0 yanajumuisha vipengele vifuatavyo vya usalama, vilivyopatikana hapo awali na usajili wa dhahabu:
- TLS kwa mawasiliano yaliyosimbwa kwa njia fiche.
- Faili na eneo asili kwa kuunda na kudhibiti maingizo ya watumiaji.
- Dhibiti ufikiaji wa mtumiaji kwa API na nguzo inayotegemea jukumu; Ufikiaji wa watumiaji wengi kwa Kibana unaruhusiwa kwa kutumia Nafasi za Kibana.
Hata hivyo, kuhamisha kazi za usalama kwa sehemu ya bure sio ishara pana, lakini jaribio la kuunda umbali kati ya bidhaa za kibiashara na matatizo yake kuu.
Na ana mambo mazito.
Hoja "Elastic Leaked" inarejesha matokeo ya utafutaji milioni 13,3 kwenye Google. Inavutia, sivyo? Baada ya kutoa vipengele vya usalama vya mradi ili kufungua chanzo, ambacho hapo awali kilionekana kama wazo zuri, Elastic ilianza kuwa na matatizo makubwa ya uvujaji wa data. Kwa kweli, toleo la msingi liligeuka kuwa ungo, kwani hakuna mtu aliyeunga mkono kazi hizi za usalama.
Mojawapo ya uvujaji wa data mbaya zaidi kutoka kwa seva ya elastic ilikuwa upotezaji wa data milioni 57 ya raia wa Merika, ambayo mnamo Desemba 2018 (baadaye ikawa kwamba rekodi milioni 82 zilivuja). Kisha, mnamo Desemba 2018, kwa sababu ya matatizo ya usalama ya Elastic nchini Brazili, data ya watu milioni 32 iliibiwa. Mnamo Machi 2019, hati za siri 250 tu, pamoja na za kisheria, zilivuja kutoka kwa seva nyingine ya elastic. Na huu ni ukurasa wa kwanza tu wa utafutaji wa swali tulilotaja.
Kwa kweli, utapeli unaendelea hadi leo na ulianza muda mfupi baada ya kazi za usalama kuondolewa na watengenezaji wenyewe na kuhamishiwa kwa msimbo wa chanzo wazi.
Msomaji anaweza kusema: "Basi nini? Kweli, wana shida za usalama, lakini ni nani asiye na?"
Na sasa tahadhari.
Swali ni kwamba kabla ya Jumatatu hii, Elastic, kwa dhamiri safi, ilichukua pesa kutoka kwa wateja kwa ungo unaoitwa kazi za usalama, ambayo iliitoa kwenye chanzo wazi mnamo Februari 2018, ambayo ni, karibu miezi 15 iliyopita. Bila kutumia gharama yoyote muhimu ili kusaidia utendakazi huu, kampuni ilichukua pesa mara kwa mara kutoka kwa wateja wa dhahabu na wanaolipa kutoka kwa sehemu ya mteja wa biashara.
Wakati fulani, matatizo ya usalama yalizidi kuwa sumu kwa kampuni, na malalamiko ya wateja yakawa ya kutisha sana, hivi kwamba pupa ikachukua nafasi ya nyuma. Walakini, badala ya kuanza tena maendeleo na "kubandika" shimo kwenye mradi wake mwenyewe, kwa sababu ambayo mamilioni ya hati na data ya kibinafsi ya watu wa kawaida waliingia kwenye ufikiaji wa umma, Elastic ilitupa kazi za usalama katika toleo la bure la elasticsearch. Na anawasilisha hii kama faida kubwa na mchango kwa sababu ya wazi ya chanzo.
Kwa kuzingatia masuluhisho kama haya "yenye ufanisi", sehemu ya pili ya chapisho la blogi inaonekana ya kushangaza sana, kwa sababu ambayo sisi, kwa kweli, tulizingatia hadithi hii. Ni kuhusu - Opereta rasmi wa Kubernetes wa Elasticsearch na Kibana.
Waendelezaji, kwa kujieleza kwa uzito kabisa juu ya nyuso zao, wanasema kwamba kutokana na kuingizwa kwa kazi za usalama katika mfuko wa msingi wa bure wa kazi za usalama wa elasticsearch, mzigo kwa wasimamizi wa watumiaji wa ufumbuzi huu utapunguzwa. Na kwa ujumla, kila kitu ni nzuri.
"Tunaweza kuhakikisha kuwa vikundi vyote vilivyozinduliwa na kusimamiwa na ECK vitalindwa kwa chaguo-msingi dhidi ya kuzinduliwa, bila mzigo wa ziada kwa wasimamizi," blogu rasmi inasema.
Jinsi suluhisho, lililoachwa na halijaungwa mkono kabisa na watengenezaji wa awali, ambayo zaidi ya mwaka uliopita imegeuka kuwa mvulana wa kupigwa kwa ulimwengu wote, itawapa watumiaji usalama, watengenezaji ni kimya.
Chanzo: mapenzi.com