Scanner de vulnérabilités : Nessus réagit

Le par  |  4 commentaire(s) Source : Par Thierry Evangelista pour Vulnerabilite.com

Renaud Deraison, auteur de l’un des scanners de vulnérabilités les plus populaires a annoncé récemment que le code source de son logiciel ne sera bientôt plus disponible.

Renaud Deraison, auteur de l’un des scanners de vulnérabilités les plus populaires a annoncé récemment que le code source de son logiciel ne sera bientôt plus disponible. Une décision qui concerne la nouvelle mouture du produit de Tenable : Nessus 3.0. La version 2.0 quant à elle devrait rester sous GPL.


Cette décision fait suite au constat que l’auteur a fait concernant l’utilisation de son outil, à savoir que beaucoup de sociétés commerciales packagent et revendent des solutions basées sur Nessus.

Quand Renaud a débuté le projet Nessus sous licence GPL en 1998, il escomptait bien que la communauté sécurité contribuerait activement au développement de l’outil. « Quasiment personne n’a contribué en quoi que ce soit pour améliorer la qualité du moteur d’analyse et nous ne voulons pas que nos concurrent tirent crédit des futures améliorations apportées », explique Renaud Deraison. En 2002, il fonde Tenable Network Security avec Ron Gula (auteur de l’IDS Dragon) et travaille sur des versions optimisées de Nessus. Et payantes. Et il poursuit : « Notre nouvelle version, Nessus 3, sera gratuite…mais ne sera pas éditée en licence GPL. Jusqu’à aujourd’hui nous alimentons nos compétiteurs et souhaitons mettre un terme à cette situation. Nessus 3 repose sur un moteur de scan amélioré et nous ne voulons pas que nos concurrents prétendent avoir amélioré leur ‘scanner’ ». La version 2 de Nessus sera tout de même toujours disponible en licence GPL et sera maintenue.

La principale innovation de la version 3, qui sera disponible prochainement, concerne l’amélioration des performances, ce qui a été souvent reproché à Nessus quand il s’agissait d’étudier un parc de machines qui dépassait le scan ponctuel ou le réseau de classe C. « Bien qu’il soit difficile d’évaluer le gain, Nessus 3 sera 2 à 5 fois plus performant que Nessus 2 selon l’environnement » poursuit le développeur. Par ailleurs, Tenable va également restreindre le nombre d’architectures supportées et l’interface graphique du nouveau Nessus va faire l’objet d’un nouveau projet open source, complètement séparé du développement du moteur de scan.

Cette décision du développeur a rapidement attiré la réprobation de certains experts sécurité, comme Fyodor (l’auteur ne Nmap) par exemple. Fyodor précise d’ailleurs qu’il n’a aucune intention de suivre le mouvement et que Nmap restera entièrement libre. D’autres membres de la mailing liste Nessus pensent que Tenable annoncera prochainement la fin du support de Nessus 2 et envisagent même de créer un nouveau produit parallèle dérivé de Nessus 2.

La décision de l’auteur de Nessus s’inscrit dans une logique de marché. La sécurité est devenue un business à part entière et il n’est pas surprenant que les auteurs de logiciels open-source qui bénéficient d’une bonne notoriété et d’une bonne acceptation en entreprise décident d’en tirer quelque profit bassement matériel. Il y a 2 ans, Marty Roesch, l’auteur de Snort, cofondait Sourcefire afin de proposer des appliances et services packagés autour de son célèbre IDS. Tripwire, Dragon et d’autres solutions plus ou moins notoires avaient ouvert la marche auparavant. A qui le tour '


Site de Nessus
Site de Tenable
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
turlupin en pétard Hors ligne Vétéran 1265 points
Le #63590
"il n?est pas surprenant que les auteurs de logiciels open-source qui bénéficient d?une bonne notoriété et d?une bonne acceptation en entreprise décident d?en tirer quelque profit bassement matériel."

ça ne semble pas être le cas.

Dans la news tu cites "Quasiment personne n?a contribué en quoi que ce soit pour améliorer la qualité du moteur d?analyse et nous ne voulons pas que nos concurrent tirent crédit des futures améliorations apportées"

ça me paraît normal. Ce type a travaillé pour les autres pendant des années sans que les autres participent, ce qui est le principe de base de l'Open Source, sauf erreur de ma part.

Alors puisqu'il est seul à tirer la charrette, pourquoi ferait-il cadeau de son travail à des parasites '

Par ailleurs : "Notre nouvelle version, Nessus 3, sera gratuite?mais ne sera pas éditée en licence GPL."

Où est donc le "profit bassement matériel" '

Il faudrait faire un peu plus attention et ne pas crier haro sur le baudet à tort et à travers... pfff !


Le #63592
turlupin est vraiment en petard...
Le #63638
Je rejoins turlupin. L'intérêt principal de l'Open Source était que plein de développeurs puissent améliorer Nessus. Si personne ne le fait, où est l'intérêt de la GPL '

J'aurais plutôt dit :
"Il n'est pas surprenant que les auteurs de logiciels open-source, pas soutenus par des développeurs extérieurs et excédés par les voleurs et autres parasites qui pompent leurs idées impunément, décident d'arrêter le massacre."

Tant que le logiciel reste gratuit, je ne vois vraiment pas de quoi il faut se plaindre : qui aurait besoin des sources à part un concurrent '!
Le #63693
qui a besoin des sources ''
tout le monde, ou tout utilisateur qui souhaite rester libre ...
Qd le doc dit que la V2 reste sous GPL .c'est parce qu'il a pas le choix, c'est grace a la GPL ..
et c'est grace a la GPL, et a son obligation de fournir les sources d'un produit que tu distribues que tu peux etre sur que nessus n'est pas bourrés de spyware qui envoient un mail à l'auteur a chaque fois qu'une de tes machines est vulnérable ...
Et pour le coup des parasites, le probleme c'est uniquement que tout le monde se fout de la GPL ...
Si les industriels en question reversaient leur amélioration dans le projet nessus, nous n'en serions pas la
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]