Lorsqu'il s'agit de décider de l'approche à adopter en matière d'outils de sécurité, il semble que deux choix s'offrent à nous.
1. Vendez votre rein gauche et achetez la solution d'entreprise dont le nom figure sur le flanc d'une voiture de Formule 1.
2. Choisissez l'outil gratuit à code source ouvert qui élimine plus de faux positifs qu'une application de rencontres lors d'un vendredi soir solitaire.
Comme pour tout ce qui touche à la sécurité, il y a beaucoup à découvrir en réalité. Dans cet article, je souhaite examiner dans quelles circonstances il convient d'utiliser des outils de sécurité open-source, quand les outils commerciaux sont plus efficaces et si nous pouvons faire confiance aux outils construits à partir d'un noyau open-source.
Construire ou acheter (le piège du coût des logiciels libres)
Au fur et à mesure que votre entreprise grandit, vous vous rendrez compte que le choix entre open-source et commercial est plus un choix entre la construction d'outils ou l'achat d'outils. Les logiciels libres constituent un excellent point de départ, mais il leur manque de nombreuses fonctionnalités dont vous avez besoin : tableaux de bord, intégrations, rapports de conformité, flux de travail de remédiation, filtrage des faux positifs et hiérarchisation des vulnérabilités, pour n'en citer que quelques-unes. L'idée que les logiciels libres sont gratuits n'est donc tout simplement pas vraie. Cela peut toutefois être un avantage, car en construisant au fur et à mesure, vous réduisez l'investissement initial et vous pouvez vous concentrer sur les fonctionnalités qui sont importantes pour vous. Cela signifie que vous ne dépendez pas d'un fournisseur pour obtenir la fonctionnalité qu'il a "promis" d'offrir au troisième trimestre il y a deux ans.
Il y a beaucoup d'inconvénients à prendre en compte lorsqu'il s'agit de construire à partir d'outils open-source. Tout d'abord, non seulement il faudra beaucoup de temps de développement pour mettre au point ces outils, mais il faudra aussi en assurer la maintenance en permanence. Les outils de sécurité peuvent également bloquer la production lorsqu'ils sont intégrés dans des éléments tels que les pipelines CI/CD par exemple. Cela signifie que lorsqu'ils tombent en panne ou se bloquent, ils peuvent entraîner des pertes de productivité sans aucun support pour vous aider à revenir en ligne.
Qu'en est-il alors de l'option d'achat ? Tout d'abord, il n'y a pas de période de montée en puissance, vous bénéficiez d'une couverture complète dès le début, ce qui réduit la dette de sécurité par la suite. Vous ne perdez pas non plus le coût d'opportunité lié à l'éloignement des équipes d'ingénieurs de vos objectifs principaux pour se concentrer sur la création de fonctionnalités pour des outils internes. Dans le monde rapide des startups, ne sous-estimez pas la valeur de cette approche.
Logiciel libre ou logiciel commercial
Les outils commerciaux sont-ils plus performants en matière de découverte de vulnérabilités ?
Jusqu'à présent, nous avons parlé de toutes les caractéristiques de l'outil sans même poser l'une des questions les plus importantes. Qu'est-ce qui permet de trouver le plus de vulnérabilités ? D'une manière générale, les fonctionnalités de base des outils open-source sont souvent équivalentes à celles de leurs homologues commerciaux en ce qui concerne leur capacité à trouver des vulnérabilités. Les outils commerciaux se distinguent toutefois par leur capacité à filtrer les faux positifs et à hiérarchiser leurs résultats.
Il s'agit très souvent d'outils commerciaux construits sur des projets open-source. Prenons l'exemple de Zen by Aikido, un pare-feu intégré complet conçu pour arrêter les menaces au moment de l'exécution. Est-il meilleur pour détecter les menaces au moment de l'exécution et les arrêter qu'un équivalent open-source ? Pas vraiment, car il est basé sur un projet open-source, AikidoZen. La valeur de la version entreprise réside dans ses fonctionnalités supplémentaires telles que l'analyse, la création de règles, la compréhension approfondie de vos menaces spécifiques et la facilité de déploiement, toutes choses que vous devriez construire vous-même si vous utilisiez la version open-source dans une entreprise. Le logiciel libre n'est donc pas nécessairement plus mauvais, il lui manque simplement l'étape suivante du triage.
Remarque : l'évaluation comparative des outils par rapport aux vulnérabilités détectées peut également s'avérer très délicate. Un excellent outil de sécurité peut trouver moins de vulnérabilités parce qu'il est plus apte à éliminer les faux positifs en fonction du contexte. Par conséquent, le meilleur outil n'est pas toujours celui qui trouve le plus de vulnérabilités ; le plus souvent, c'est l'inverse.
Développé à partir de logiciels libres conçus pour les entreprises
L'open-source représente trop de développement et le commercial est trop cher, pourquoi pas un juste milieu? Les outils complets qui utilisent l'open-source à la base ne sont pas un nouveau concept. Certains des produits de sécurité les plus performants au monde sont basés sur des logiciels libres, comme Hashicorp Vault, Elastic Security et Metaploit, pour n'en citer que quelques-uns. Il y a de nombreuses raisons pour lesquelles ces outils fonctionnent si bien et ce n'est probablement pas pour les raisons que vous pensez.
Rapport coût-efficacité
Les outils à code source ouvert ne doivent pas seulement rivaliser avec les outils commerciaux alternatifs, ils doivent aussi rivaliser avec leur base à code source ouvert. Cela signifie que leur valeur doit être prouvée et transparente, ce qui se traduit souvent par une offre plus rentable.
Le pouvoir de la communauté
Souvent, les outils open-source sont maintenus et construits par des sociétés commerciales, comme Aikido Zen. Les outils basés sur des logiciels libres ne le sont pas seulement pour réduire le temps de développement, mais aussi parce que les fondateurs croient fondamentalement au pouvoir des logiciels libres. Les outils open-source sont souvent plus rapides à développer des fonctionnalités parce qu'ils sont soutenus par une communauté, ce qui signifie également que si vous avez un problème spécifique et de niche, vous pouvez l'introduire vous-même dans l'outil.
Transparence
Souvent, l'achat d'outils commerciaux est un peu comme l'achat d'une voiture sans en voir le moteur. Quelle est sa qualité et sa fiabilité à long terme ? Il est plus facile de dissimuler les faiblesses d'un outil lorsque personne ne peut en voir le moteur. Les outils à code source ouvert ne peuvent pas cacher leur moteur, il est donc plus facile d'avoir confiance dans l'outil lui-même.
Caractéristiques commerciales
Comme nous l'avons déjà dit, un outil à code source ouvert étant souvent en concurrence avec des outils commerciaux et des outils à code source ouvert, il doit être fier de ses fonctionnalités supplémentaires. Il s'agit de tout ce que vous attendez d'un outil commercial, mais souvent bien plus. Comme le produit bénéficie d'une base open-source bien définie, l'attention peut être portée sur les améliorations qui sont finalement répercutées sur l'utilisateur final.
Alors, que choisir (réflexions finales)
Nous avons discuté des avantages des outils de sécurité à code source ouvert, des outils commerciaux et des outils à code source ouvert. Je pense qu'il est clair, d'après mon ton, qu'en tant qu'auteur, j'aime la communauté open-source et je pense que les outils à code source ouvert sont un compromis sur le prix sans compromis sur les fonctionnalités. Il est bien sûr idiot de dire qu'il n'y a aucune raison pour que, dans certains scénarios, une version purement commerciale soit meilleure. Il existe d'excellentes solutions innovantes qui sont entièrement fermées. Mais ce que je veux dire en définitive, c'est que ce n'est pas parce qu'un produit est basé sur un projet à code source ouvert qu'il fera des compromis en termes de capacités ou de fonctionnalités. Et parce qu'il doit prouver sa valeur en toute transparence, il offre souvent des fonctionnalités et une valeur plus importantes.
Aikido Security a été créé par des développeurs pour des développeurs afin de faciliter la mise en œuvre de la sécurité. Nous sommes fiers de notre héritage open-source et nous serions ravis que vous veniez le voir en action par vous-même.
Démarrer avec Aikido Security gratuitement
.svg)
.jpg)
.jpg)
.jpg)
.jpg)
