Renaud Deraison, auteur de l’un des scanners de vulnérabilités les
plus populaires a annoncé récemment que le code source de son logiciel
ne sera bientôt plus disponible. Une décision qui concerne la nouvelle
mouture du produit de Tenable : Nessus 3.0. La version 2.0 quant à elle
devrait rester sous GPL.
Cette décision fait suite au constat que l’auteur a fait concernant l’utilisation de son outil, à savoir que beaucoup de sociétés commerciales packagent et revendent des solutions basées sur Nessus.
Quand Renaud a débuté le projet Nessus sous licence GPL en 1998, il escomptait bien que la communauté sécurité contribuerait activement au développement de l’outil. « Quasiment personne n’a contribué en quoi que ce soit pour améliorer la qualité du moteur d’analyse et nous ne voulons pas que nos concurrent tirent crédit des futures améliorations apportées », explique Renaud Deraison. En 2002, il fonde Tenable Network Security avec Ron Gula (auteur de l’IDS Dragon) et travaille sur des versions optimisées de Nessus. Et payantes. Et il poursuit : « Notre nouvelle version, Nessus 3, sera gratuite…mais ne sera pas éditée en licence GPL. Jusqu’à aujourd’hui nous alimentons nos compétiteurs et souhaitons mettre un terme à cette situation. Nessus 3 repose sur un moteur de scan amélioré et nous ne voulons pas que nos concurrents prétendent avoir amélioré leur ‘scanner’ ». La version 2 de Nessus sera tout de même toujours disponible en licence GPL et sera maintenue.
La principale innovation de la version 3, qui sera disponible prochainement, concerne l’amélioration des performances, ce qui a été souvent reproché à Nessus quand il s’agissait d’étudier un parc de machines qui dépassait le scan ponctuel ou le réseau de classe C. « Bien qu’il soit difficile d’évaluer le gain, Nessus 3 sera 2 à 5 fois plus performant que Nessus 2 selon l’environnement » poursuit le développeur. Par ailleurs, Tenable va également restreindre le nombre d’architectures supportées et l’interface graphique du nouveau Nessus va faire l’objet d’un nouveau projet open source, complètement séparé du développement du moteur de scan.
Cette décision du développeur a rapidement attiré la réprobation de certains experts sécurité, comme Fyodor (l’auteur ne Nmap) par exemple. Fyodor précise d’ailleurs qu’il n’a aucune intention de suivre le mouvement et que Nmap restera entièrement libre. D’autres membres de la mailing liste Nessus pensent que Tenable annoncera prochainement la fin du support de Nessus 2 et envisagent même de créer un nouveau produit parallèle dérivé de Nessus 2.
La décision de l’auteur de Nessus s’inscrit dans une logique de marché. La sécurité est devenue un business à part entière et il n’est pas surprenant que les auteurs de logiciels open-source qui bénéficient d’une bonne notoriété et d’une bonne acceptation en entreprise décident d’en tirer quelque profit bassement matériel. Il y a 2 ans, Marty Roesch, l’auteur de Snort, cofondait Sourcefire afin de proposer des appliances et services packagés autour de son célèbre IDS. Tripwire, Dragon et d’autres solutions plus ou moins notoires avaient ouvert la marche auparavant. A qui le tour '
Site de Nessus
Site de Tenable
Cette décision fait suite au constat que l’auteur a fait concernant l’utilisation de son outil, à savoir que beaucoup de sociétés commerciales packagent et revendent des solutions basées sur Nessus.
Quand Renaud a débuté le projet Nessus sous licence GPL en 1998, il escomptait bien que la communauté sécurité contribuerait activement au développement de l’outil. « Quasiment personne n’a contribué en quoi que ce soit pour améliorer la qualité du moteur d’analyse et nous ne voulons pas que nos concurrent tirent crédit des futures améliorations apportées », explique Renaud Deraison. En 2002, il fonde Tenable Network Security avec Ron Gula (auteur de l’IDS Dragon) et travaille sur des versions optimisées de Nessus. Et payantes. Et il poursuit : « Notre nouvelle version, Nessus 3, sera gratuite…mais ne sera pas éditée en licence GPL. Jusqu’à aujourd’hui nous alimentons nos compétiteurs et souhaitons mettre un terme à cette situation. Nessus 3 repose sur un moteur de scan amélioré et nous ne voulons pas que nos concurrents prétendent avoir amélioré leur ‘scanner’ ». La version 2 de Nessus sera tout de même toujours disponible en licence GPL et sera maintenue.
La principale innovation de la version 3, qui sera disponible prochainement, concerne l’amélioration des performances, ce qui a été souvent reproché à Nessus quand il s’agissait d’étudier un parc de machines qui dépassait le scan ponctuel ou le réseau de classe C. « Bien qu’il soit difficile d’évaluer le gain, Nessus 3 sera 2 à 5 fois plus performant que Nessus 2 selon l’environnement » poursuit le développeur. Par ailleurs, Tenable va également restreindre le nombre d’architectures supportées et l’interface graphique du nouveau Nessus va faire l’objet d’un nouveau projet open source, complètement séparé du développement du moteur de scan.
Cette décision du développeur a rapidement attiré la réprobation de certains experts sécurité, comme Fyodor (l’auteur ne Nmap) par exemple. Fyodor précise d’ailleurs qu’il n’a aucune intention de suivre le mouvement et que Nmap restera entièrement libre. D’autres membres de la mailing liste Nessus pensent que Tenable annoncera prochainement la fin du support de Nessus 2 et envisagent même de créer un nouveau produit parallèle dérivé de Nessus 2.
La décision de l’auteur de Nessus s’inscrit dans une logique de marché. La sécurité est devenue un business à part entière et il n’est pas surprenant que les auteurs de logiciels open-source qui bénéficient d’une bonne notoriété et d’une bonne acceptation en entreprise décident d’en tirer quelque profit bassement matériel. Il y a 2 ans, Marty Roesch, l’auteur de Snort, cofondait Sourcefire afin de proposer des appliances et services packagés autour de son célèbre IDS. Tripwire, Dragon et d’autres solutions plus ou moins notoires avaient ouvert la marche auparavant. A qui le tour '
Site de Nessus
Site de Tenable
