samedi 17 mai
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

: Sortie de la première version stable d'OpenVAS (fork Nessus)

Posté par Amaury (). Modéré le 14 février 2008.
Je profite de la publication de la première version stable d'OpenVAS pour faire un point sur l'état des forks de Nessus.

Créé en 1998 par Renaud Deraison, Nessus a longtemps été le scanner de vulnérabilités de référence du monde libre. Ce succès à permis à son auteur de monter la société Tenable Network Security qui commercialise une offre d'audits de vulnérabilités. Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL, et au vu de la faiblesse des contributions de la communauté au moteur du logiciel, la société a décidé d'utiliser une licence propriétaire pour la version 3 de Nessus fin 2005 .

La réaction de la communauté ne s'est pas faite attendre et de nombreux forks de la version 2 de Nessus ont été lancés dans la foulée, par exemple GNessUs, Porz-Wahn et Sussen parmi les projets ayant été annoncés officiellement.
L'objectif était de continuer à disposer d'un scanner de vulnérabilité libre et performant. Voilà plus de 2 ans que ces forks ont été lancés, force est de constater qu'aucun d'entre eux n'a acquis la renommée de leur ancêtre commun. En effet, au delà des bonnes intentions, la quasi totalité de ces projets n'ont jamais réussi à rassembler suffisamment de développeurs pour permettre de reprendre le flambeau.

Le site de Porz-Wahn est figé depuis son ouverture et tout laisse à penser que le projet est mort, en fait Porz-Wahn a fusionné en toute discrétion avec GNessUs fin 2005.

L'histoire de Sussen est différente des autres forks. Lancé courant 2004, avant le changement de licence de Nessus, Sussen -"nessus" à l'envers :-)- était au départ un client Gnome codé en Mono/C#/GTK# supposé s'interfacer avec le serveur Nessus.
À la suite de la sortie de Nessus 3.0, le projet a pris une tournure différente et la version actuelle n'a plus rien à voir avec le client Nessus originel. Ce logiciel est maintenu par un seul développeur qui, à l'instar de Renaud Deraison, travaille dans une société de services en sécurité. La version de développement actuelle, disponible pour Linux et Windows, est sortie courant 2007. Elle est certifiée OVAL (un standard pour l'échange d'informations relatives aux vulnérabilités). Un seul message ayant été posté sur la liste de diffusion depuis sa création, le blog du développeur reste le meilleur moyen d'avoir des nouvelles de ce logiciel.

Last but not least, GNessUs a changé de nom et s'appelle dorénavant OpenVAS. Il s'agit du seul fork de Nessus encore actif. C'est autour de ce logiciel lancé par un chercheur en sécurité anglais qu'une communauté s'est formée. Suite à la fusion avec Porz-Wahn, des développeurs allemands ont rejoint l'équipe et le projet a d'ailleurs reçu des subventions du gouvernement allemand. Il a aussi retenu l'attention du SPI, une association qui subventionne des projets libres. C'est donc en toute discrétion, après quand même deux ans de travail, que les premières versions stables d'OpenVAS ont été publiées il y a quelques jours à peine, conformément à la feuille de route.
La communauté dispose donc enfin d'un scanner de vulnérabilités libre. Certes son architecture date un peu et de nombreuses améliorations seront nécessaires avant de se rivaliser avec la version actuelle de Nessus, mais c'est un premier pas dans la bonne direction.
N'hésitez donc pas à vous abonner à la liste de diffusion du projet et à contribuer si vous vous en sentez capable.

> Lire la dépêche (13 commentaires, moyenne: 2,6).  

Vous avez demandé le commentaire #905438.

sans vergogne

Posté par lionel tricon (page perso, ) le 14/02/2008 à 13:34. (lien). Évalué à 1.

"Face à une concurrence utilisant sans vergogne son logiciel, comme le permet la GPL,"

Ca me gène un peu de voir le terme "sans vergogne" associé à "GPL" dans la même phrase, en causalité de l'une à l'autre. Et quand je pense que certains trouve la licence GPL trop restrictive :-)

  • [^]Re: sans vergogne

    Posté par Nitchevo () le 14/02/2008 à 15:03. (lien). Évalué à 1.

    Je suis d'accord et en outre je ne sais pas s'il veut dire:
    -face à une concurence qui développe des solutions libres sur le base de Nesus, comme le permet la gpl
    -face à une concurence qui distribue des logiciels propriétaires en utilisant le code source de Nesus comme l'interdit la gpl qu'ils violent sans vergogne.

    Quelqu'un peut-il m'éclairer?

    • [^]Re: sans vergogne

      Posté par CrEv (page perso, ) le 14/02/2008 à 15:08. (lien). Évalué à 5.

      je pense que ça veut tout simplement dire que des boites "attendent" que les releases de nessus pleuvent comme par magie pour les intégrer et les revendre en disant que c'est _leur_ soft.
      Et je pense que ça plait pas toujours lorsqu'il n'y a aucun retour positif (ou pire, que ça plombe la boite créant réellement le code).

      Mais bien sur, tout ceci est permis par la gpl... et c'est ce qui a motivé le changement je crois.

      [^]Re: sans vergogne

      Posté par arnaudus () le 14/02/2008 à 15:24. (lien). Évalué à 4.

      Ça ne peut être que le premier cas, sinon, ça serait déja au tribunal cette affaire, la GPL est robuste à ce sujet.

      Je pense que l'idée de la phrase, c'est que les concurrents utilisent les droits de la GPL sans vraiment jouer le jeu : il est tout à fait possible de tout faire pour pourrir le principe de la GPL, par exemple en n'acceptant de ne distribuer le code qu'aux clients et que sur demande, en ayant modifié le code de manière à rendre les patches incompatibles (noms de fonctions ou de variables changés...).

      On se heurte alors à ce qui est, à mon avis, le plus gros défaut du logiciel libre dans la logique économique : le seul avantage de la boite qui produit le logiciel par rapport à ses concurrents est son expertise (i) dans la formation des gusses qui vont utiliser le logiciel, et (ii) dans le développement, par exemple pour corriger un bug ou ajouter une fonctionnalité (et donc avoir un temps d'avance sur les concurrents). Or, ces deux points "fonctionnent" mieux si (i) le logiciel n'est pas trivial à utiliser (une doc un peu fainéante, un conmportement pas intuitif...), et (ii) les modifications du code ne sont pas trop faciles (s'il y a des effets de bords, des bidouilles pas très propres etc, il faut bien connaitre l'ensemble du soft avant de modifier quoi que ce soit). Il n'est donc pas vraiment utile pour une boite de produire un logiciel libre bien fignolé, car elle prend le risque de financer le gain de productivité des concurrents qui lui "piratent" le soft. Bien sûr, elle se coupe aussi des contributions de la communauté, mais je ne suis pas sûr que ce type de projet ait vraiment besoin de contributions sous forme de patches (j'imagine que ce qu'ils souhaitent, c'est plus des rapports de bugs; j'imagine mal un informaticien bosser sur les ordres de son patron pour envoyer un beau patch à la boîte qui leur vend déja du service). J'ai donc l'impression que le meilleur logiciel libre commercial est un logiciel puissant (nombreuses fonctionnalités, efficacité, rapidité...) et demandant de l'expertise à l'utilisation (vente de service derrière), et c'est un equilibre difficile à entretenir à long terme.

    [^]Re: RTFA

    Posté par Amaury () le 14/02/2008 à 15:36. (lien). Évalué à 8.

    Dites en lisant la news vous auriez vu que le lien "faiblesse des contributions" de la news pointe sur un mail ( http://mail.nessus.org/pipermail/nessus/2005-October/msg0004(...) ) de Renaud qui mentionne "A number of companies are _using_ the source code against us, by selling or renting appliances, thus exploiting a loophole in the GPL. So in that regard, we have been fueling our own competition and we want to put an end to that. Nessus3 contains an improved engine, and we don't want our competition to claim to have improved "their" scanner.".

    L'auteur a publiquement expliqué la situation à de nombreuses reprises comme par exemple dans http://mail.nessus.org/pipermail/nessus/2005-January/msg0018(...)

    We're fed up to do most of the work and let many companies not only profit from our efforts, but also actively fight against us (or me personally
    as it happened in the past).
    I'm fed up of seeing companies bill their customers for "plugin updates" for a much higher price than $1,200 per year, when all they do simply is to mirror www.nessus.org/nasl/all-2.0.tar.gz and resell it to their users (without any QA on them by the way, I have a funny annecdote about that). And I'm fed up of seeing all these companies take _my_ work, rebrand it, and claim it as being their own technology.

    • [^]Re: RTFA

      Posté par Arkem (page perso, ) le 15/02/2008 à 23:08. (lien). Évalué à 1.

      Il n'y a pas un truc dans la GPL qui oblige à préserver l'identité de l'auteur d'origine du logiciel ?

      • [^]Re: RTFA

        Posté par Nap (page perso, ) le 17/02/2008 à 22:49. (lien). Évalué à 2.

        A mon avis, si ils louent un boitier réseau contenant le logiciel, ils ne sont pas obligés. cf. les problèmes avec la freebox

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0528s (dont 0.0056 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.