https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

沒有白吃的午餐

2005 / 11 / 03
文 / Lawrence M. Walsh 翻譯 / 江志昊
沒有白吃的午餐

受歡迎的開放原始碼弱點掃描軟體之父Ron Gula表示,今後仍然可以免費的取得掃描軟體,但是必須要付費才能夠取得特徵資料庫更新(Signature Updates),發展Nessus特徵資料庫的成本已經超過給予發展團隊的捐贈(是的,捐贈)。開放原始碼軟體計畫通常由自願的熱忱勞力來執行。Nessus現在隸屬Tenable Network Security,這個Gula的新投資發展商業化的弱點掃描軟體,並用於支援與補足Nessus的發展成本。
但弱點特徵出現後並非立即發佈,現在Nessus開放原始碼弱點掃描需要收費。只有付費者可以收到即時的更新,其他的使用者必須等七天(也就是電腦系統有七天是暴露在弱點中)之後才可獲得更新。Tenable的商業版Lightning管理主控台使用者也將會收到更新,這屬於授權的一部分。

天下沒有白吃的午餐
哪些人將會受到影響?首先是依賴Nessus作為商業產品基礎的資安供應商。如同其他開放原始碼工具般,Nessus套件在GPL規範下是自由且免費的。預期使用Nessus的供應商會將其特徵資料庫的訂閱成本往下轉移到使用者身上。
使用便宜的資安方案之企業也將受到影響。他們必須付錢訂購特徵資料庫更新,或是承擔暴露於弱點中的空窗期之風險。
Nessus會對其服務進行收費並不令人意外。開放原始碼模式是創新科技發跡極佳的墊腳石,但是自願的熱忱勞力者最終必須獲得從興趣之外的有形利益。即使連Linux程式碼的守護者Linus Torvalds,也沒有辭去原本的正職工作。
Gula以及Snort IDS的創始人Martin Roesch受到許多富豪及資安執業者的捐助。倘若沒有Nessus,將不會出現如McAfee的Foundstone及StillSecure的VAM等商業性的弱點評估掃描軟體;沒有了Snort,將不會出現Internet Security System的RealSecure IDS及Lucid Security ipAngel IPS等軟體。所有資安管理服務供應商(MSSA)的資安服務中,都至少使用了兩者其中之一。
Metasploit計畫的經理HD Moore,已經接近開發完成一套威力能夠與Core Security Technologies公司的Impact等商業軟體打對台的自動化滲透掃描軟體。這是一個開端計畫,Moor希望能夠有人捐獻現金以及設備以使計畫能夠持續發展。他希望能夠募得$1,337,但是至今只收到16筆獻款共$335而已。
開放原始碼工具最終將走上兩條路途:本身商業化或被拿來作為營利用途。Gula、Roesh以及Tripwire IDS創始人Gene Kim,皆發展了使開放原始碼工具更易於使用及管理的商業產品。另一方面,Torvalds使Linux保持開放,但是尋求專業技術支援及即時更新的企業,則必須使用如IBM、Redhat及Oracle等商業服務。Gula的新模式,是為了免於創新導致缺乏資金而做出的妥協。
不幸的是,許多執業者及企業家將開放原始碼工具視為業餘玩意:好玩、有趣且完全可利用(剝削)的。我們每天所使用的免費工具,如NetStumber、AirSnort、SpamAssassin、SPIKE、RATS、FlawFinder、SPLINT、Nmap以及P0F等,對企業帶來了多大的助益?
許多資安創新背後所支撐的是這些點子的公有利用,需要我們智識上及財物上的支援,無論是透過捐獻以及直接參與的方式。