Nessus y Snort con futuro incierto

Empresas

Nessus anuncia que abandonará la licencia GPL para su próxima versión, mientras que la empresa Sourcefire, los padres de Snort, han sido comprados por Check Point.

Nessus y Snort tienen varias cosas en común. Ambos nacieron como proyectos open source en 1998, se distribuyen bajo licencia GPL, tienen una amplia difusión, y son sin duda referencias obligadas en su terreno, el primero como escáner de vulnerabilidades y el segundo como IDS.

En ambos casos también han existido proyectos empresariales derivados por parte de sus desarrolladores. Nessus nació de la mano de Renaud Deraison, quién creó en 2002 la empresa Tenable Security. Mientras que Martin Roesh, el creador de Snort, fundó la empresa Sourcefire en el 2001.

El que se planteen a día de hoy algunas dudas sobre ambos proyectos tiene orígenes diferentes. En el caso de Nessus es el propio Renaud Deraison quién ha anunciado en su lista de distribución que la próxima versión 3 de Nessus dejará de distribuirse bajo licencia GPL, aunque seguirá siendo gratuita. La razón que ha dado es que la competencia de su empresa está aprovechando el acceso al código fuente de Nessus y ello le perjudica.

En el caso de Snort no peligra a corto plazo su distribución bajo GPL, tal y como rápidamente ha anunciado Martin Roesh en una carta pública. En ella aclara que los 225 millones de dólares por los que CheckPoint ha comprado a Sourcefire no van a ser un problema para Snort, que seguirá su marcha como hasta ahora, siendo gratuito y distribuyéndose bajo licencia GPL.

Aunque a efectos prácticos en ambos casos es previsible que se vean frenadas sus versiones open source, al menos en comparación con los avances que incorporen en sus desarrollos comerciales derivados, la comunidad ha reaccionado de forma diferente, en parte por la política de comunicación.

Martin Roesh, en una carta políticamente correcta, lo primero que ha hecho es dar gracias a la comunidad open source, y asegurar la continuidad del proyecto Snort en las mismas condiciones que hasta hoy.

En el caso de Renaud Deraison, pecando de sinceridad, ha dicho que Nessus 2 seguirá bajo GPL aunque se limitará a parchear los problemas que puedan encontrarse, mientras que Nessus 3 con importantes mejoras será gratuito pero no se distribuirá bajo GPL.

Cuando se le ha preguntado en la lista por ese cambio, Renaud ha respondido que durante los últimos 6 años nadie le ha ayudado a mejorar el motor de Nessus, a excepción de un amigo y un colega de su empresa. A cambio, dice Renaud, muchas empresas de la competencia están utilizando el acceso al código fuente de Nessus en su contra, y no quiere que se aprovechen de las mejoras que él va a introducir en Nessus 3 para que terceras empresas mejoren sus herramientas.

Aunque es Renaud quién ha levantado más polvareda con sus declaraciones, más que nada porque algunos han querido ver en sus palabras un ataque o queja sobre la licencia GPL, a nadie escapa que ambos proyectos pueden verse afectados por estos anuncios.

Si bien es cierto que en ambos casos han sido los propios autores quiénes han soportado el desarrollo de los núcleos de las herramientas, también es cierto que tanto Nessus como Snort deben parte de su éxito a la contribución de la comunidad. Ya no sólo por el apoyo recibido, sino porque han alimentado esos motores con plugins y firmas, sin los cuales nunca hubieran alcanzado la cobertura y el éxito actual.

Es la comunidad la que decidirá ahora si seguirá brindándoles el mismo apoyo o les dará la espalda. En el caso de Nessus ya se han escuchado algunas voces que piden formar un grupo de trabajo alternativo al oficial, partiendo de Nessus 2, para desarrollar nuevas versiones bajo licencia GPL.

A la espera de ver como evolucionan, a día de hoy, el futuro se presenta incierto.

Leer la biografía del autor  Ocultar la biografía del autor