最近在 Elastic 博客上 報道稱,一年多前發佈到開源領域的 Elasticsearch 的主要安全功能現在對用戶免費。
官方部落格文章包含「正確」的話,即開源應該是免費的,並且專案所有者將其業務建立在他們為企業解決方案提供的其他附加功能上。 現在版本 6.8.0 和 7.1.0 的基礎版本包含以下安全功能,以前只能透過黃金訂閱才能使用:
- 用於加密通訊的 TLS。
- 用於建立和管理使用者條目的文件和本機領域。
- 管理使用者對 API 和基於角色的叢集的存取; 使用 Kibana Spaces 允許多用戶存取 Kibana。
然而,將安全功能轉移到免費部分並不是一種廣泛的姿態,而是試圖在商業產品與其主要問題之間拉開距離。
他有一些嚴重的問題。
查詢「Elastic Leaked」在 Google 上傳回 13,3 萬條搜尋結果。 令人印象深刻,不是嗎? 在將專案的安全功能開源後(這曾經看起來是個好主意),Elastic 開始出現嚴重的資料外洩問題。 事實上,基本版本變成了篩子,因為沒有人真正支援這些相同的安全功能。
彈性伺服器最臭名昭著的資料外洩之一是丟失了 57 萬美國公民的數據,其中 2018 年 82 月(後來事實證明,實際上有 2018 萬筆記錄被洩露)。 隨後,32年2019月,由於巴西Elastic有安全問題,250萬人的資料被竊。 000 年 XNUMX 月,另一台彈性伺服器「僅」洩漏了 XNUMX 萬份機密文件,其中包括法律文件。 這只是我們提到的查詢的第一個搜尋頁面。
事實上,駭客行為一直持續到今天,並且在開發人員自己刪除安全功能並轉移到開源程式碼後不久就開始了。
讀者可能會說:「那又怎樣? 好吧,他們有安全問題,但誰沒有呢?”
現在註意了。
問題是,在本週一之前,Elastic 問心無愧地從客戶那裡收了錢,用於一個名為「安全功能」的篩子,該篩子早在2018 年15 月,也就是大約XNUMX 個月前就開源了。 在不花費任何重大成本來支援這些功能的情況下,該公司定期從企業客戶群的黃金和高級訂戶收取費用。
在某種程度上,安全問題對公司來說變得如此有害,客戶抱怨變得如此具有威脅性,以至於貪婪退居二線。 然而,Elastic並沒有恢復開發並「修補」自己專案中的漏洞,導致數百萬普通人的文件和個人資料進入公共存取範圍,而是將安全功能投入到免費版本的elasticsearch中。 他將此視為對開源事業的巨大好處和貢獻。
鑑於這種「有效」的解決方案,部落格文章的第二部分看起來非常奇怪,因此我們實際上關注了這個故事。 是關於 - Elasticsearch 和 Kibana 的官方 Kubernetes 營運商。
開發人員一臉嚴肅地表示,由於elasticsearch安全功能的基本免費包中包含了安全功能,這些解決方案的使用者管理員的負擔將會減輕。 總的來說,一切都很棒。
官方部落格指出:“我們可以確保 ECK 啟動和管理的所有叢集在啟動時都預設受到保護,而不會給管理員帶來額外負擔。”
這個被放棄並且沒有得到原始開發人員真正支持的解決方案,在過去的一年裡已經變成了一個普遍的替罪羊,將如何為用戶提供安全保障,開發人員保持沉默。
來源: www.habr.com