Lorsqu'il s'agit de choisir une approche pour les outils de sécurité, il semble y avoir deux options.
1. Vendez votre rein gauche et achetez la solution d'entreprise dont le nom figure sur le côté d'une voiture de Formule 1.
2. Choisissez l'outil open-source gratuit qui valide plus de faux positifs qu'une application de rencontre un vendredi soir solitaire.
Comme pour tout ce qui touche à la sécurité, la réalité est plus complexe. Dans cet article, je souhaite explorer quand les outils de sécurité open source devraient être utilisés, quand les outils commerciaux sont plus efficaces, et si nous pouvons faire confiance aux outils construits à partir d'un noyau open source.
Build vs Buy (le piège des coûts de l'open source)
À mesure que votre entreprise se développe, vous réaliserez bientôt que le choix entre l'open source et le commercial est davantage un choix entre construire des outils ou acheter des outils. L'open source offre un excellent point de départ, mais il lui manque de nombreuses fonctionnalités dont vous avez besoin : tableaux de bord, intégrations, rapports de conformité, workflows de remédiation, filtrage des faux positifs et priorisation des vulnérabilités, pour n'en nommer que quelques-unes. L'idée que l'open source est gratuit n'est donc tout simplement pas vraie. Cela peut cependant être un avantage : construire au fur et à mesure étire l'investissement initial et vous permet de vous concentrer sur les fonctionnalités qui sont importantes pour vous. Cela signifie que vous ne dépendez pas d'un fournisseur pour livrer la fonctionnalité qu'il avait « promise » pour le T3 il y a 2 ans.
Il y a de nombreux inconvénients à considérer lors de la construction sur des outils open-source. Premièrement, non seulement il faudra un temps de développement considérable pour construire ces outils, mais cela nécessitera également une maintenance continue. Les outils de sécurité peuvent également bloquer la production lorsqu'ils sont intégrés dans des éléments comme les pipelines CI/CD par exemple. Cela signifie que lorsqu'ils échouent ou plantent, ils peuvent entraîner des pertes de productivité sans aucun support pour vous aider à vous remettre en ligne.
Qu'en est-il de l'option d'achat alors ? Premièrement, il n'y a pas de période de montée en charge : vous bénéficiez d'une couverture complète dès le départ, ce qui réduit la dette de sécurité à long terme. De plus, vous ne perdez pas le coût d'opportunité lié au fait de détourner vos équipes d'ingénierie de leurs objectifs principaux pour qu'elles se concentrent sur le développement de fonctionnalités pour des outils internes. Dans le monde trépidant des startups, ne sous-estimez pas la valeur de cet avantage.
Open-source vs commercial
Les outils commerciaux sont-ils plus efficaces pour la détection de vulnérabilités ?
Jusqu'à présent, nous avons parlé de toutes les fonctionnalités de l'outil sans même poser l'une des questions les plus importantes. Qu'est-ce qui trouvera le plus de vulnérabilités ? De manière générale, la fonctionnalité principale des outils open source correspondra souvent à celle de leurs homologues commerciaux en ce qui concerne leur capacité à trouver des vulnérabilités. Cependant, les outils commerciaux se distingueront par leur capacité à filtrer les faux positifs et à prioriser leurs découvertes.
Ce sont très souvent des outils commerciaux qui sont construits sur des projets open source. Par exemple, prenons Zen by Aikido, un pare-feu intégré à l'application complet conçu pour arrêter les menaces en temps d'exécution. Est-il donc meilleur pour détecter et arrêter les menaces en temps d'exécution qu'un équivalent open source ? Pas vraiment, car il est basé sur un projet open source, AikidoZen. La valeur de la version entreprise réside dans ses fonctionnalités supplémentaires comme l'analyse, la création de règles, une compréhension plus approfondie de Vos menaces spécifiques, et la facilité de déploiement, toutes choses que vous devriez construire vous-même si vous utilisiez la version open source en entreprise. L'open source n'est donc pas nécessairement pire, il lui manque simplement la prochaine étape de triage.
Note : Comparer les outils en fonction des vulnérabilités détectées peut également être très délicat. Un excellent outil de sécurité pourrait trouver moins de vulnérabilités car il est plus efficace pour éliminer les faux positifs en fonction du contexte. Par conséquent, le meilleur outil n'est pas toujours celui qui en trouve le plus ; bien souvent, c'est l'inverse.
Propulsé par l'open source, conçu pour les entreprises
L'open source demande trop de développement et la version commerciale est trop chère, que diriez-vous d'un juste milieu ? Les outils complets qui utilisent l'open source en leur cœur ne sont pas un nouveau concept. Certains des produits de sécurité les plus réussis au monde utilisent l'open source en leur cœur, comme Hashicorp Vault, Elastic Security et Metaploit, pour n'en nommer que quelques-uns. Il y a de nombreuses raisons pour lesquelles ces outils fonctionnent si bien, et ce n'est probablement pas pour les raisons que vous imaginez.
Rentabilité
Les outils basés sur l'open-source doivent non seulement rivaliser avec les outils commerciaux alternatifs, mais aussi avec leur base open-source. Cela signifie que leur valeur doit être prouvée et transparente, ce qui se traduit souvent par une offre plus rentable.
La puissance de la communauté
Souvent, les outils open source sont maintenus et développés par des entreprises commerciales, comme Aikido Zen. Les outils basés sur l'open source ne sont pas seulement créés pour réduire le temps de développement, mais aussi parce que les fondateurs croient fondamentalement au pouvoir de l'open source. Les outils open source sont souvent plus rapides pour développer des fonctionnalités car ils bénéficient d'une communauté, cela signifie également que si vous avez un problème spécifique et de niche, vous pouvez l'introduire vous-même dans l'outil.
Transparence
L'achat d'outils commerciaux peut souvent s'apparenter à l'acquisition d'une voiture sans en avoir vu le moteur. Quelle est sa qualité/fiabilité à long terme ? Il est plus facile de masquer les faiblesses lorsque l'on ne peut pas examiner le moteur. Les outils basés sur l'open source ne peuvent pas cacher leur moteur, ce qui permet d'avoir plus facilement confiance en l'outil lui-même.
Fonctionnalités commerciales
Comme indiqué précédemment, parce qu'un outil basé sur l'open source est souvent en concurrence avec des alternatives commerciales et d'autres outils open source, il doit fièrement défendre ses fonctionnalités supplémentaires. Cela signifie tout ce que vous attendez d'un outil commercial, mais souvent bien plus encore. Parce que le produit bénéficie d'une base open source bien définie, l'attention peut être portée sur des améliorations qui sont finalement transmises à l'utilisateur final.
Alors, que choisir (réflexions finales)
Nous avons discuté des avantages des outils de sécurité open-source, commerciaux et basés sur l'open-source. Je pense qu'il est clair, d'après mon ton, qu'en tant qu'auteur, j'aime la communauté open-source et je crois que les outils basés sur l'open-source représentent un compromis sur le prix sans compromis sur les fonctionnalités. Il est bien sûr idiot de dire qu'il n'y a aucune raison pour laquelle, dans certains scénarios, une version purement commerciale serait meilleure. Il existe de grandes solutions innovantes entièrement closed-source. Mais mon point essentiel est que ce n'est pas parce que quelque chose est basé sur un projet open-source que cela compromettra ses capacités ou ses fonctionnalités. Et parce qu'il doit prouver sa valeur en toute transparence, il offre souvent des fonctionnalités et une valeur plus profondes.
Aikido Security a été créé par des développeurs pour des développeurs afin de faciliter la mise en œuvre de la sécurité. Nous sommes fiers de notre héritage open source et serions ravis que vous veniez le voir en action par vous-même.
Sécurisez votre logiciel dès maintenant.
