Al decidir qué enfoque utilizar para las herramientas de seguridad, parece que hay dos opciones.
1. Vende tu riñón izquierdo y compra la solución empresarial cuyo nombre aparece en el lateral de un coche de Fórmula 1.
2. Elige la herramienta de código abierto gratuita que marca más falsos positivos que una aplicación de citas en una solitaria noche de viernes.
Como todo en seguridad, hay más que desglosar en la realidad. En este artículo quiero explorar cuándo deben utilizarse las herramientas de seguridad de código abierto, cuándo son más efectivas las herramientas comerciales y si podemos confiar en herramientas construidas a partir de un núcleo de código abierto.
Desarrollar vs Comprar (la trampa de costes del código abierto)
A medida que tu empresa crece, pronto te darás cuenta de que la elección entre código abierto y comercial es más una elección entre construir herramientas o comprar herramientas. El código abierto proporciona un excelente punto de partida, pero carece de muchas de las características que necesitas: paneles de control, integraciones, informes de cumplimiento, flujos de trabajo de remediación, filtrado de falsos positivos y priorización de vulnerabilidades, por nombrar algunas. Así que la idea de que el código abierto es gratuito simplemente no es cierta. Sin embargo, esto puede ser una ventaja; construir a medida que avanzas extiende la inversión inicial y puedes centrarte en las características que son importantes para ti. Significa que no dependes de un proveedor para que entregue la característica que 'prometió' que entregaría en el tercer trimestre hace 2 años.
Hay muchos aspectos negativos a considerar al construir sobre herramientas de código abierto. En primer lugar, no solo requerirá un tiempo de desarrollo significativo para construir estas herramientas, sino que también necesitará un mantenimiento continuo. Las herramientas de seguridad también pueden bloquear la producción cuando se integran en elementos como los pipelines de CI/CD, por ejemplo. Esto significa que cuando fallan o se bloquean, pueden causar pérdidas de productividad sin soporte para ayudarle a volver a estar en línea.
¿Qué hay de la opción de compra entonces? En primer lugar, no hay un período de adaptación, se obtiene una cobertura completa desde el principio, lo que se traduce en una menor deuda de seguridad más adelante. Tampoco se pierde el coste de oportunidad de desviar a los equipos de ingeniería de sus objetivos principales para centrarse en la creación de funcionalidades para herramientas internas. En el vertiginoso mundo de las startups, no subestime el valor de esto.
Código abierto vs. comercial
¿Son las herramientas comerciales mejores en el descubrimiento de vulnerabilidades?
Hasta ahora hemos hablado de todas las características de la herramienta sin siquiera plantear posiblemente una de las preguntas más importantes. ¿Qué encontrará más vulnerabilidades? En términos generales, la funcionalidad principal de las herramientas de código abierto a menudo igualará a sus homólogas comerciales en su capacidad para encontrar vulnerabilidades. Sin embargo, donde las herramientas comerciales tomarán la delantera es en su capacidad para filtrar falsos positivos y priorizar sus hallazgos.
Muy a menudo, las herramientas comerciales se basan en proyectos de código abierto. Por ejemplo, tomemos Zen de Aikido, un firewall integrado en la aplicación con todas las funciones firewall integrado en la aplicación está diseñado para detener las amenazas en tiempo de ejecución. Entonces, ¿es mejor para detectar amenazas en tiempo de ejecución y detenerlas que un equivalente de código abierto? En realidad no, porque se basa en un proyecto de código abierto, AikidoZen. El valor de la versión empresarial reside en sus características adicionales, como el análisis, la creación de reglas, la comprensión más profunda de sus amenazas específicas y la facilidad de implementación, todo lo que necesitaría crear usted mismo si utilizara la versión de código abierto en una empresa. Por lo tanto, el código abierto no es necesariamente peor, simplemente le falta la siguiente etapa de clasificación.
Nota: Comparar herramientas en función de las vulnerabilidades encontradas también puede ser muy complicado. Una buena herramienta de seguridad podría encontrar menos vulnerabilidades porque es mejor eliminando falsos positivos basándose en el contexto. Por lo tanto, la mejor herramienta no siempre es la que encuentra más; la mayoría de las veces es lo contrario.
Impulsado por código abierto, diseñado para empresas
Entonces, el código abierto requiere demasiado desarrollo y el comercial es demasiado caro, ¿qué tal un término medio? Las herramientas con todas las funciones que utilizan código abierto en su núcleo no son un concepto nuevo. Algunos de los productos de seguridad más exitosos del mundo utilizan código abierto en su núcleo, como Hashicorp Vault, Elastic Security y Metaploit, por nombrar algunos. Hay muchas razones por las que estas herramientas funcionan tan bien y probablemente no sean las que usted cree.
Rentabilidad
Las herramientas basadas en código abierto no solo deben competir con herramientas comerciales alternativas, sino que también deben competir con su base de código abierto. Esto significa que su valor debe ser probado y transparente, lo que a menudo resulta en una oferta más rentable.
El poder de la comunidad
A menudo, las herramientas de código abierto son mantenidas y desarrolladas por empresas comerciales, como Aikido Zen. Las herramientas basadas en código abierto no solo se desarrollan para reducir el tiempo de desarrollo, sino también porque los fundadores creen fundamentalmente en el poder del código abierto. Las herramientas de código abierto suelen ser más rápidas en la creación de funcionalidades porque cuentan con una comunidad que las respalda, también significa que si tiene un problema específico y de nicho, puede introducirlo usted mismo en la herramienta.
Transparencia
A menudo, comprar herramientas comerciales puede ser un poco como comprar un coche sin ver su motor. ¿Qué tan buena/fiable es a largo plazo? Es más fácil ocultar las debilidades cuando no se puede ver el motor. Las herramientas de código abierto no pueden ocultar su motor, por lo que es más fácil confiar en la herramienta en sí.
Funcionalidades Comerciales
Como se indicó anteriormente, dado que una herramienta impulsada por código abierto a menudo compite tanto con alternativas comerciales como con herramientas de código abierto, debe respaldar con orgullo sus características adicionales. Esto significará todo lo que espera de una herramienta comercial, pero a menudo bastante más. Dado que el producto se beneficia de una base de código abierto bien definida, se puede dedicar atención a mejoras que, en última instancia, se transmiten al usuario final.
¿Entonces qué elijo (reflexiones finales)?
Hemos discutido las ventajas de las herramientas de seguridad de código abierto, comerciales y basadas en código abierto. Creo que queda claro por mi tono que, como autor, amo la comunidad de código abierto y considero que las herramientas basadas en código abierto son un compromiso en precio sin comprometer las características. Por supuesto, sería absurdo decir que no hay escenarios en los que una versión puramente comercial sea mejor. Existen grandes soluciones innovadoras que son completamente de código cerrado. Pero mi punto principal es que el hecho de que algo se base en un proyecto de código abierto no significa que comprometa su capacidad o sus características. Y debido a que necesita demostrar su valor con total transparencia, a menudo ofrece características y un valor más profundos.
Aikido security creado por desarrolladores para desarrolladores con el fin de ayudarles a garantizar la seguridad. Estamos orgullosos de nuestra herencia de código abierto y nos encantaría que vinieras a verlo en acción por ti mismo.
Protege tu software ahora.
.avif)
