沒有白吃的午餐

受歡迎的開放原始碼弱點掃描軟體之父Ron Gula表示，今後仍然可以免費的取得掃描軟體，但是必須要付費才能夠取得特徵資料庫更新（Signature Updates），發展Nessus特徵資料庫的成本已經超過給予發展團隊的捐贈（是的，捐贈）。開放原始碼軟體計畫通常由自願的熱忱勞力來執行。Nessus現在隸屬Tenable Network Security，這個Gula的新投資發展商業化的弱點掃描軟體，並用於支援與補足Nessus的發展成本。
但弱點特徵出現後並非立即發佈，現在Nessus開放原始碼弱點掃描需要收費。只有付費者可以收到即時的更新，其他的使用者必須等七天（也就是電腦系統有七天是暴露在弱點中）之後才可獲得更新。Tenable的商業版Lightning管理主控台使用者也將會收到更新，這屬於授權的一部分。

天下沒有白吃的午餐
哪些人將會受到影響？首先是依賴Nessus作為商業產品基礎的資安供應商。如同其他開放原始碼工具般，Nessus套件在GPL規範下是自由且免費的。預期使用Nessus的供應商會將其特徵資料庫的訂閱成本往下轉移到使用者身上。
使用便宜的資安方案之企業也將受到影響。他們必須付錢訂購特徵資料庫更新，或是承擔暴露於弱點中的空窗期之風險。
Nessus會對其服務進行收費並不令人意外。開放原始碼模式是創新科技發跡極佳的墊腳石，但是自願的熱忱勞力者最終必須獲得從興趣之外的有形利益。即使連Linux程式碼的守護者Linus Torvalds，也沒有辭去原本的正職工作。
Gula以及Snort IDS的創始人Martin Roesch受到許多富豪及資安執業者的捐助。倘若沒有Nessus，將不會出現如McAfee的Foundstone及StillSecure的VAM等商業性的弱點評估掃描軟體；沒有了Snort，將不會出現Internet Security System的RealSecure IDS及Lucid Security ipAngel IPS等軟體。所有資安管理服務供應商（MSSA）的資安服務中，都至少使用了兩者其中之一。
Metasploit計畫的經理HD Moore，已經接近開發完成一套威力能夠與Core Security Technologies公司的Impact等商業軟體打對台的自動化滲透掃描軟體。這是一個開端計畫，Moor希望能夠有人捐獻現金以及設備以使計畫能夠持續發展。他希望能夠募得$1,337，但是至今只收到16筆獻款共$335而已。
開放原始碼工具最終將走上兩條路途：本身商業化或被拿來作為營利用途。Gula、Roesh以及Tripwire IDS創始人Gene Kim，皆發展了使開放原始碼工具更易於使用及管理的商業產品。另一方面，Torvalds使Linux保持開放，但是尋求專業技術支援及即時更新的企業，則必須使用如IBM、Redhat及Oracle等商業服務。Gula的新模式，是為了免於創新導致缺乏資金而做出的妥協。
不幸的是，許多執業者及企業家將開放原始碼工具視為業餘玩意：好玩、有趣且完全可利用（剝削）的。我們每天所使用的免費工具，如NetStumber、AirSnort、SpamAssassin、SPIKE、RATS、FlawFinder、SPLINT、Nmap以及P0F等，對企業帶來了多大的助益？
許多資安創新背後所支撐的是這些點子的公有利用，需要我們智識上及財物上的支援，無論是透過捐獻以及直接參與的方式。