开源漏洞数据库OSVDB是一个建立于2002年的独立安全漏洞信息的开放平台,研究者可以不受大型企业软件公司的监督自主进行安全信息的交流。
开源漏洞数据库关闭了
本周二,OSVDB博客宣布这个经营了14年的开源漏洞数据库关闭,并且未来不会重新开放。
“这不是一个容易的决定,我们几个人经过十多年的努力,付出巨大的个人牺牲,希望它能正常运营。而根本就没有希望得到业内贡献和支持这种努力。OSVDB博客将继续为这个充满漏洞的世界提供一个可以评论一切事物的地方。”
OSVDB的创始人之一是知名的白帽黑客HD Moore,他是渗透测试工具Metasploit框架的开发者,曾就职于Rapid7,今年1月离职加入一家风险投资公司专注于创业项目。
Moore接受了媒体的邮件采访,详细介绍了OSVDB从生到死的坎坷之路。
最初创立OSVDB项目是出于什么原因呢?
HD Moore:OSVDB项目最初源于我、RFP(Rain Forest Puppy,另一名白帽黑客)、Steve Manzuik、Chris Wy以及一些朋友的一次谈话,我们对赛门铁克在收购SecurityFocus之后Bugtraq数据库的状况表示担忧。可是现在讽刺的是,赛门铁克旗下的Bugtraq/SecurityFocus活得要比OSVDB还要久。
我们这群人在一起讨论了OSVDB应当是什么样子的,谁为它筹资,它该如何运作。几个月之后,这个项目失去了动力,最初的研究者(包括我在内)几乎要放弃它了。
那么之后又发生了什么?
HD Moore:几个月之后,Jake Kouns接管了这个项目,为OSVDB创建了开源安全基金,Forrest Rae重新编写了代码库,Brian Martin(jericho)也参与进来。包括我在内的许多安全行业人事连续多年为其提供内容支持。至于基金支持方面,据我所知并没有许多现金直接投入进来,但是和Digital Defense一样,有许多开发者投入了自己的时间和主机服务器。Jake和团队的确让项目取得了巨大的可见性成绩,但是却难以得到后端代码库的支持,因此社区开始有人吐槽。
然后又怎么了?
HD Moore:“开源”意味着数据是公开的,而“被开源”则指代他们拥有全部数据,Jake开始抱怨社区做出的贡献并不够。Jake每年都会进行一次威胁,说要关闭这个项目,同时强调如果雇佣海外编辑而非安全社区将会有多大好处。在2005年,OSVDB的未来就已经埋下了“关闭”的宿命。
Jake随后开始了Risk BasedSecurity,获得了OSVDB内容的独家特许,货币化运作,同时在理论上将一些资金用于托管和操作。然后出现了许多博客抱怨数据遭到“窃取”,大公司开始运行Web Scraper,对Jake的这个项目表达了反对。
为何现在要关闭它?
HD Moore:最大的问题其实是它的名字:OSVDB是以Open(打开)开始,但是却越来越难以实现。最初在登录之后可以进行批量下载,后来则完全不能进行。今年则会全部关闭。
这个项目和OSVDB一样,在几个月之前就已经处于半死不活的状态了。我认为他们从去年年中开始拒绝接受外部捐助。今年二月起,整个公共Web站点开始重定向到这个博客。
这样一来,随时都可以“了结”了整个网站。
此举对安全社区会造成怎样的影响?
HD Moore:许多安全产品使用了OSVDB参考(其中当然包括Metasploit),现在这些链接都指向了一个不存在的地址。许多漏洞只有OSVDB的ID账号。所有这些内容都需要更新到一个新的地址。由于内容仅供商业使用,如果有人通过镜像获取内容,则是违法的。
OSVDB有一个很棒的数据模型,内容非常全面。因此在对漏洞进行更新的同时,还要维护旧漏洞发生的变化就需要做出很大的努力。
曾经我们也讨论过很多次什么会取代OSVDB以及未来它会变成什么样子。有一些基础的标识符(DWF、OpenWall的生成器等等)努力,但是仍无法建立一个全面、具有历史价值的漏洞数据库。目前已经有不少公司能够利用他们自己的商业数据集构建一个新的数据库,例如qualys、tenable、rapid7、securia、ibm等等,只是目前还不清楚他们对这么做是否有兴趣。
原文地址:CIO