Комментарии 14
Ради рекламы свой компании вы смешали в одну кучу непонятной субстанции сразу несколько разный понятий: Открытое ПО (Open Source), Свободное ПО (Free Software), Бесплатное ПО (Freeware).
Неужели у вас в Swordfish Security нет специалиста, который разбирается особенностях разработки ПО, чтобы не допускать подобных ляпов?
Бесплатно ПО или нет - риски информационной безопасности там такие же ни больше ни меньше.
Более того почти во всех лицензиях крупных компаний которые я читал - производитель первым делом снимает с себя отвественность за эти риски.
Причем как сказали в комментариях выше в статье вы путаете понятие открытого и бесплатного ПО.
И да бесплатное ПО не бесплатно в эксплуатации - это совершенно верно, но при этом в каждом конкретном случае необходимо считать стоимость и оценивать риски, где-то будет выгоднее лицензии купить, где то свободные версии использовать. И без этого рассчета в приложении к конкретной компании, которая будет это ПО использовать - бесполезно проводить, какие-то сравнения и приводить, какие-то аргументы.
И как бы не в обиду будет сказано, что поторопились написать хоть какую-то статью, чтобы отрекламировать свое ПО, причем смешав в кучу коней людей и прочих действующих лиц.
Большое спасибо за активное обсуждение! Вы правы, мы писали скорее обзорную статью с примерами, когда инструмент с открытым исходным кодом требует либо доплаты, либо доработки под нужды компании, будь это freeware или free software. DefectDojo и Semgrep имеют собственные репозитории на github, которые можно форкнуть себе и доработать - потому мы и использовали их в качестве иллюстрации к этой статье. Согласны, следовало бы более глубоко копнуть в сторону лицензий и их разрешений (в том числе чем может обернуться несоблюдение условий лицензионного соглашения). Постараемся в ближайшее время подробнее раскрыть эту тему.
Как минимум, с Open Source платить не за "чёрный ящик" со стандартными габаритами (параметрами)... в итоге - оплачиваешь собственное развитие, а не стагнацию.
Jamie Zawinski (между прочим, автор названия “Mozilla”) давным-давно сказал «Linux is only free if your time has no value.» По-моему, легко переносится на весь Open Source, а не только отдельно взятый Linux.
Вы предлагаете вендорское ПО.
В каких случаях можно бесплатно получить его исходный код?
Как доработать его под наши нужды?
Как добиться того, чтобы вендор не публиковал в своём закрытом репозитории код, который разрабатывался за деньги клиента?
Что делать, если вендор уже ушёл, забрав с собой все знания?
Спасибо.
Да, я тоже поперхнулся, что если разработчик комитит в закрытый репозиторий, то он с собой знания при увольнении не забирает.
1 - 3. Код вендорского ПО является коммерческой тайной, иначе бы не было преимуществ коммерческого софта в виде техподдержки и реализации фич-реквестов. Мы предлагаем использовать время специалистов компании на поиск и анализ уязвимостей, а не на разработку и/или улучшение ПО для этих целей. Кстати, реализация фич-реквестов по запросу клиента - это способ "доработать" софт под его нужды. Что касается нас, мы ответственный вендор и прислушиваемся к запросам клиентов, чтобы продукт развивался и отвечал вашим запросам.
4. Внимательнее относиться к выбору вендора и оценивать риски.
Код вендорского ПО является коммерческой тайной, иначе бы не было преимуществ коммерческого софта в виде техподдержки и реализации фич-реквестов.
У вас первое утверждение никак не связано с выводом. Более того, за счет наличия открытого кода, техподдержка и реализация фич-реквестов для заказчика наоборот получает гораздо бОльшие преимущества, чем использование непонятно какого закрытого кода. В том числе и за счет минимизации рисков в случае ухода вендора с рынка или отсутствия у него желания развивать или поддерживать продукт.
То есть никак нельзя доработать код вендора под наши нужды?
То есть вендор опубликует код, разработанный за деньги клиента, в своём репозитории?
Уйдя, вендор заберёт с собой все оплаченные знания, да?
Пошла волна на opensource (на этой неделе уже postgres топили). Ожидаем очередного подорожания отечественного ПО. Чувствую скоро, по заветам Касперской, запретят свое писать.
Лучше быть здоровым и богатым, чем бедным и больным... Выбор прост. Или иметь в своей компании спеца по данной срфтине, или купить поддержку...
Понятно, что сотовые операторы, или банки покупают поддержку, и сегодня у них не самая простая жизнь. Но куча маленьких и не очень компаний легко и просто используют open source, и неплохо себя при этом чувствуют. А статья очень смахивает на рекламную, что грустно.
Работы дороже однозначно. На платном ПО всё "Юзверей" думать не надо на все вопросы ответ одной кнопкой. С опен\фри и прочими сорсами сложно для "лохмандеев" по этому они дорогие. Так по моему было всегда и не чего особо не меняется. Хотя Линух стал на много приветлив и добрее)
Так ли бесплатен Open Source: подводные камни ИБ-инструментов с открытым исходным кодом