Ao decidir qual abordagem usar para ferramentas de segurança, parece haver duas opções.
1. Vender seu rim esquerdo e comprar a solução corporativa cujo nome está na lateral de um carro de Fórmula 1.
2. Escolher a ferramenta open-source gratuita que aceita mais falsos positivos do que um aplicativo de namoro em uma noite de sexta-feira solitária.
Como tudo em segurança, há mais a ser explorado na realidade. Neste artigo, quero investigar quando ferramentas de segurança "open-source" devem ser usadas, quando ferramentas comerciais são mais eficazes e se podemos confiar em ferramentas construídas a partir de um núcleo "open-source".
Construir vs. Comprar (a armadilha de custo do "open-source")
À medida que sua empresa cresce, você logo perceberá que a escolha entre "open-source" e comercial é mais uma escolha entre construir ferramentas ou comprar ferramentas. O "open-source" oferece um ótimo ponto de partida, mas carece de muitos recursos necessários, como dashboards, integrações, relatórios de conformidade, fluxos de trabalho de remediação, filtragem de falsos positivos e priorização de vulnerabilidades, para citar alguns. Portanto, a ideia de que o "open-source" é gratuito simplesmente não é verdadeira. Isso pode ser uma vantagem, no entanto; construir à medida que avança estende o investimento inicial e permite que você se concentre nos recursos que são importantes para você. Significa que você não está dependendo de um fornecedor para entregar o recurso que ele "prometeu" há 2 anos no terceiro trimestre.
Há muitos pontos negativos a considerar ao construir sobre ferramentas "open-source". Primeiramente, não só exigirá um tempo de desenvolvimento significativo para construir essas ferramentas, mas também demandará manutenção contínua. Ferramentas de segurança também podem bloquear a produção quando integradas em elementos como pipelines de CI/CD, por exemplo. Isso significa que, quando falham ou travam, podem causar perdas de produtividade sem suporte para ajudar a restaurar a operação.
E quanto à opção de compra? Primeiramente, não há período de adaptação; você obtém cobertura completa desde o início, o que resulta em menos "security debt" (dívida de segurança) posteriormente. Você também não perde o custo de oportunidade de desviar equipes de engenharia de seus objetivos principais para focar na construção de recursos para ferramentas internas. No mundo acelerado das startups, não subestime o valor disso.
"Open-source" vs. Comercial
Ferramentas comerciais são melhores na descoberta de vulnerabilidades?
Até agora, falamos sobre todos os recursos da ferramenta sem sequer fazer uma das perguntas possivelmente mais importantes. O que encontrará mais vulnerabilidades? De modo geral, a funcionalidade central das ferramentas de código aberto geralmente se iguala às suas contrapartes comerciais na capacidade de encontrar vulnerabilidades. No entanto, onde as ferramentas comerciais se destacam é na sua capacidade de filtrar falsos positivos e priorizar suas descobertas.
Muitas vezes, as ferramentas comerciais são construídas com base em projetos de código aberto. Por exemplo, vamos considerar o Zen da Aikido, um firewall incorporado no aplicativo completo firewall incorporado no aplicativo projetado para impedir ameaças em tempo de execução. Então, ele é melhor em detectar ameaças em tempo de execução e impedi-las do que um equivalente de código aberto? Na verdade, não, porque ele é baseado em um projeto de código aberto, o AikidoZen. O valor da versão empresarial está nas suas funcionalidades adicionais, como análise, criação de regras, compreensão mais profunda das suas ameaças específicas e facilidade de implementação, tudo o que seria necessário construir se utilizasse a versão de código aberto numa empresa. Portanto, o código aberto não é necessariamente pior, apenas falta-lhe a próxima etapa de triagem.
Nota: Comparar ferramentas com base nas vulnerabilidades encontradas também pode ser muito complicado. Uma ótima ferramenta de segurança pode encontrar menos vulnerabilidades porque é melhor em remover falsos positivos com base no contexto. Portanto, a melhor ferramenta nem sempre é aquela que encontra mais; na maioria das vezes, é o oposto.
Com tecnologia de código aberto, feito para empresas
Então, o código aberto é muito complexo e o comercial é muito caro. Que tal um meio-termo? Ferramentas completas que utilizam código aberto em sua essência não são um conceito novo. Alguns dos produtos de segurança mais bem-sucedidos do mundo utilizam código aberto em sua essência, como Hashicorp Vault, Elastic Security e Metaploit, para citar alguns. Existem muitas razões pelas quais essas ferramentas têm tanto sucesso, e provavelmente não são as razões que você imagina.
Custo-benefício
Ferramentas com tecnologia de código aberto não precisam apenas competir com ferramentas comerciais alternativas, mas também com sua base de código aberto. Isso significa que seu valor deve ser comprovado e transparente, resultando frequentemente em uma oferta mais econômica.
O poder da comunidade
Muitas vezes, as ferramentas de código aberto são mantidas e desenvolvidas por empresas comerciais, como Aikido . As ferramentas baseadas em código aberto não são criadas apenas para reduzir o tempo de desenvolvimento, mas também porque os fundadores acreditam fundamentalmente no poder do código aberto. As ferramentas de código aberto costumam ser mais rápidas na criação de funcionalidades porque têm uma comunidade por trás delas, o que também significa que, se tiver um problema específico e de nicho, pode introduzi-lo na ferramenta você mesmo.
Transparência
Comprar ferramentas comerciais pode ser um pouco como comprar um carro sem ver seu motor. Quão bom/confiável ele é a longo prazo? É mais fácil esconder fraquezas quando não se pode inspecionar o motor. Ferramentas com tecnologia de código aberto não podem esconder seu motor, tornando mais fácil sentir confiança na própria ferramenta.
Recursos Comerciais
Como afirmado anteriormente, como uma ferramenta com tecnologia de código aberto frequentemente compete tanto com alternativas comerciais quanto com ferramentas de código aberto, ela precisa se orgulhar de seus recursos adicionais. Isso significará tudo o que você espera de uma ferramenta comercial, mas muitas vezes um pouco mais. Como o produto se beneficia de uma base de código aberto bem definida, a atenção pode ser dedicada a melhorias que são, em última análise, repassadas ao usuário final.
Então, o que eu escolho (considerações finais)
Discutimos as vantagens das ferramentas de segurança de código aberto, comerciais e com tecnologia de código aberto. Acho que fica claro pelo meu tom que, como autor, amo a comunidade de código aberto e acredito que as ferramentas com tecnologia de código aberto são um compromisso no preço sem comprometer os recursos. É claro que seria ilógico dizer que não há razão para que, em alguns cenários, uma versão puramente comercial seja melhor. Existem ótimas soluções inovadoras por aí que são totalmente de código fechado. Mas meu ponto principal é que, só porque algo é baseado em um projeto de código aberto, não significa que comprometerá a capacidade ou os recursos. E como precisa provar seu valor em total transparência, muitas vezes oferece recursos e valor mais profundos.
Aikido foi criada por programadores para programadores, com o objetivo de ajudar a garantir a segurança. Temos orgulho da nossa herança de código aberto e adoraríamos que você viesse ver como ela funciona na prática.
Proteja seu software agora
.avif)
