StillSecure的首席策略官(CSO,Chief Strategy Officer)Alan Shimel說,“我們走入了一個危險境地,人們向這些社區貢獻資源,不管貢獻的是時間、金錢還是源代碼,如果他們看到他們所付出的這些轉化成某個人在商業上的成功,而不是整個社區的成功,你覺得他們的這種貢獻還會持續多久?”
一個最為流行的漏洞掃描程序Nessus,在12月12日,隨著3.0.0版本的發布,改變了該程序的許可協議。對於那些將該程序作為自己商業解決方案一個組成部分的安全界人員來說,引起了一陣波瀾。在GPL許可下,不能獲得最新版本,這個最新版本只作為商業產品出售。
最近的這次許可變化影響到了很多方面的用戶,包括公司、開源社區,甚至所用服務中包含Nessus的那些企業。那麼這對於開源到底意味著什麼呢?這是純真時代(age of innocence)的終結嗎?相關人士會做出怎樣的選擇呢?
更深遠的含義?
Qlusters公司是經營Linux數據中心操作管理軟件的,其CTO William Hurley說,Nessus新版本不開源的宣布表明這項事業需要社區的支持,否則就走不下去。他說:“這一宣布主要是影響安全社區,對於開源運動的影響很小。許多公司仍在向開源開發模式轉變。這一宣布的更深層次的意義在於,它表明了,雖然像Nessus這樣的單一的方案可能需要經過大的改變才能保證未來的發展,但開源整體上仍舊具有很強的生命力而且運作良好,仍在得到越來越多的支持。”
純真時代的結束
以上是一方面的觀點。這裡有其它觀點:StillSecure公司是做漏洞管理平台的,其的首席策略官Alan Shimel說,Nessus 3.0.0的發布終結了開源軟件的純真時代。他說:“我們走入了一個危險境地,人們向這些社區貢獻資源,不管貢獻的是時間、金錢還是源代碼,如果他們看到他們所付出的這些轉化成某個人在商業上的成功,而不是整個社區的成功,你覺得他們的這種貢獻還會持續多久?”
Shimel說這和Google非常相似,Google的年收益可達600億美元,多數來自於搜索時對廣告的點擊。Shimel認為,在開源社區中,在意識到Nessus 3.0.0所帶來的變化時,很多人會覺得不太好受。
不同意見
當然了,並不是軟界業所有的人都和Shimel持相同意見。Mindbridge軟件公司是一家軟件及基於Web的咨詢公司,其COO Scott Testa就是持不同觀點的一個例子。
Testa說,“開源軟件從計算機存在之日起就一直存在,還將繼續存在下去。一些軟件會被商業化,但其它的還是會保持開放。”
Hurley同意Testa的看法。Hurley說,許多公司早就考慮過像Nessus這樣的問題,他們選擇了一種混合的開源策略,使用雙重許可的產品。Hurley說:“Nessus是成千上萬的開源方案中的一個,雖然在垂直市場上它廣受青睐,但也不應當把它用來判定開源軟件運動整體的命運。”
決定,決定
無論在什麼情況下,Shimel都是說,現在用戶必須做出決定,有以下三個選擇:第一,免費使用Nessus v3.0,但獲得升級要晚上7天;第二,付費,從而可以直接獲得及時的升級;第三,轉到選用一個商業的漏洞管理系統上去。
且不說Nessus對於開源社區的長期含義,Nessus 3.0.0的這一變化對於安全軟件廠商和用戶確實有短期的含義。個人用戶和公司會做出什麼樣的反應呢?Hurley說,需要具體情況具體分析,不能一概而論。
“最終,大多數人都很可能會選擇第一種方案,因為Nessus並不是用於實時防御系統的,”Hurley說,“如果Nessus是一個IDS或IPS,像Snort一樣,那麼晚7天的升級會使它變得毫無用處。但Nessus不是這樣的,7天的延遲對大多數用戶都是可以忍受的。”
完全不可接受
不過,在這一點上,Hurley和Shimel還是持不同意見。Shimel說,等待7天不是一個可行方案。在某些領域,等5到7天是沒什麼大不了,但在安全領域,確是非常嚴重。
Shimel說:“如果微軟在周二發布了對某個高危Windows漏洞的補丁,任何一個安全策略都不可能等到下一周。所以,你只有兩個選擇,一個是付費,另一個是自己開發。”
第四個選擇
Hurley說,還有第四個選擇,他覺得這個選擇對大多數用戶都是最為可行的,那就是:轉到一個不同的開源方案。
Hurley說:“Nessus不是惟一的開源漏洞掃描工具,它只是迄今為止最廣泛使用的。在SourceForge上搜索一下,你就會發現還有好幾個可以替代它的工具。”包括像OpenVas.org這樣的新的方案,這些方案是針對Nessus的變化做出反應而新近推出的。
賽迪網