Ao decidir qual abordagem usar para ferramentas de segurança, parece haver duas opções.
1. Vender seu rim esquerdo e comprar a solução corporativa cujo nome está na lateral de um carro de Fórmula 1.
2. Escolher a ferramenta open-source gratuita que aceita mais falsos positivos do que um aplicativo de namoro em uma noite de sexta-feira solitária.
Como tudo em segurança, há mais a ser explorado na realidade. Neste artigo, quero investigar quando ferramentas de segurança "open-source" devem ser usadas, quando ferramentas comerciais são mais eficazes e se podemos confiar em ferramentas construídas a partir de um núcleo "open-source".
Construir vs. Comprar (a armadilha de custo do "open-source")
À medida que sua empresa cresce, você logo perceberá que a escolha entre "open-source" e comercial é mais uma escolha entre construir ferramentas ou comprar ferramentas. O "open-source" oferece um ótimo ponto de partida, mas carece de muitos recursos necessários, como dashboards, integrações, relatórios de conformidade, fluxos de trabalho de remediação, filtragem de falsos positivos e priorização de vulnerabilidades, para citar alguns. Portanto, a ideia de que o "open-source" é gratuito simplesmente não é verdadeira. Isso pode ser uma vantagem, no entanto; construir à medida que avança estende o investimento inicial e permite que você se concentre nos recursos que são importantes para você. Significa que você não está dependendo de um fornecedor para entregar o recurso que ele "prometeu" há 2 anos no terceiro trimestre.
Há muitos pontos negativos a considerar ao construir sobre ferramentas "open-source". Primeiramente, não só exigirá um tempo de desenvolvimento significativo para construir essas ferramentas, mas também demandará manutenção contínua. Ferramentas de segurança também podem bloquear a produção quando integradas em elementos como pipelines de CI/CD, por exemplo. Isso significa que, quando falham ou travam, podem causar perdas de produtividade sem suporte para ajudar a restaurar a operação.
E quanto à opção de compra? Primeiramente, não há período de adaptação; você obtém cobertura completa desde o início, o que resulta em menos "security debt" (dívida de segurança) posteriormente. Você também não perde o custo de oportunidade de desviar equipes de engenharia de seus objetivos principais para focar na construção de recursos para ferramentas internas. No mundo acelerado das startups, não subestime o valor disso.
"Open-source" vs. Comercial
Ferramentas comerciais são melhores na descoberta de vulnerabilidades?
Até agora, falamos sobre todos os recursos da ferramenta sem sequer fazer uma das perguntas possivelmente mais importantes. O que encontrará mais vulnerabilidades? De modo geral, a funcionalidade central das ferramentas de código aberto geralmente se iguala às suas contrapartes comerciais na capacidade de encontrar vulnerabilidades. No entanto, onde as ferramentas comerciais se destacam é na sua capacidade de filtrar falsos positivos e priorizar suas descobertas.
É muito comum que ferramentas comerciais sejam construídas sobre projetos de código aberto. Por exemplo, vamos pegar Zen da Aikido, um firewall incorporado no aplicativo completo projetado para parar ameaças em tempo de execução. Então, é melhor em detectar e parar ameaças em tempo de execução do que um equivalente de código aberto? Na verdade, não, porque é baseado em um projeto de código aberto, AikidoZen. O valor da versão empresarial está em seus recursos adicionais, como análise, criação de regras, compreensão mais profunda das Suas ameaças específicas e facilidade de implantação, todas as coisas que você precisaria construir por conta própria se usasse a versão de código aberto em uma empresa. Portanto, o código aberto não é necessariamente pior, apenas falta a próxima etapa de triagem.
Nota: Comparar ferramentas com base nas vulnerabilidades encontradas também pode ser muito complicado. Uma ótima ferramenta de segurança pode encontrar menos vulnerabilidades porque é melhor em remover falsos positivos com base no contexto. Portanto, a melhor ferramenta nem sempre é aquela que encontra mais; na maioria das vezes, é o oposto.
Com tecnologia de código aberto, feito para empresas
Então, o código aberto exige muito desenvolvimento e o comercial é muito caro, que tal um meio-termo? Ferramentas completas que usam código aberto em seu núcleo não são um conceito novo. Alguns dos produtos de segurança mais bem-sucedidos do mundo usam código aberto em seu núcleo, como Hashicorp Vault, Elastic Security e Metasploit, para citar alguns. Existem muitas razões pelas quais essas ferramentas se saem tão bem, e provavelmente não são pelas razões que você pensa.
Custo-benefício
Ferramentas com tecnologia de código aberto não precisam apenas competir com ferramentas comerciais alternativas, mas também com sua base de código aberto. Isso significa que seu valor deve ser comprovado e transparente, resultando frequentemente em uma oferta mais econômica.
O poder da comunidade
Frequentemente, ferramentas de código aberto são mantidas e construídas por empresas comerciais, como Aikido Zen. Ferramentas baseadas em código aberto não são feitas apenas para reduzir o tempo de desenvolvimento, mas também porque os fundadores acreditam fundamentalmente no poder do código aberto. Ferramentas de código aberto são frequentemente mais rápidas na construção de recursos porque têm uma comunidade por trás delas, isso também significa que, se você tiver um problema específico e de nicho, pode introduzi-lo na ferramenta você mesmo.
Transparência
Comprar ferramentas comerciais pode ser um pouco como comprar um carro sem ver seu motor. Quão bom/confiável ele é a longo prazo? É mais fácil esconder fraquezas quando não se pode inspecionar o motor. Ferramentas com tecnologia de código aberto não podem esconder seu motor, tornando mais fácil sentir confiança na própria ferramenta.
Recursos Comerciais
Como afirmado anteriormente, como uma ferramenta com tecnologia de código aberto frequentemente compete tanto com alternativas comerciais quanto com ferramentas de código aberto, ela precisa se orgulhar de seus recursos adicionais. Isso significará tudo o que você espera de uma ferramenta comercial, mas muitas vezes um pouco mais. Como o produto se beneficia de uma base de código aberto bem definida, a atenção pode ser dedicada a melhorias que são, em última análise, repassadas ao usuário final.
Então, o que eu escolho (considerações finais)
Discutimos as vantagens das ferramentas de segurança de código aberto, comerciais e com tecnologia de código aberto. Acho que fica claro pelo meu tom que, como autor, amo a comunidade de código aberto e acredito que as ferramentas com tecnologia de código aberto são um compromisso no preço sem comprometer os recursos. É claro que seria ilógico dizer que não há razão para que, em alguns cenários, uma versão puramente comercial seja melhor. Existem ótimas soluções inovadoras por aí que são totalmente de código fechado. Mas meu ponto principal é que, só porque algo é baseado em um projeto de código aberto, não significa que comprometerá a capacidade ou os recursos. E como precisa provar seu valor em total transparência, muitas vezes oferece recursos e valor mais profundos.
Aikido Security foi criada por desenvolvedores para desenvolvedores para ajudar a implementar a segurança. Temos orgulho de nossa herança de código aberto e adoraríamos que você viesse vê-la em ação por si mesmo.
