Sicherheitslücken-Scanner Nessus wird Closed Source

Die kommende Version 3 des beliebten Penetration-Testing-Tools bleibt zwar kostenlos, wird aber nicht mehr unter GPL veröffentlicht.

In Pocket speichern vorlesen Druckansicht 205 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Christiane Rütten

Die kommende Version 3 des Vulnerability-Scanners Nessus wird zwar weiterhin kostenlos bleiben, jedoch von der Entwickler-Firma Tenable Network Security nicht mehr unter der Open-Source-Lizenz GPL freigegeben, wurde auf der Nessus-Mailingliste bekanntgegeben.

Renaud Deraison, Initiator des 1998 gegründeten Nessus-Projektes und heute Chef-Entwickler und Mitgründer von Tenable, gab an, dass der Schritt in Richtung Closed Source die Nessus-Entwicklung nicht beinträchtigen werde. Die bisherigen Entwicklungen am Nessus-Kern seien fast ausschließlich von Tenable-Mitarbeitern durchgeführt worden. Gegenüber CNet betonte er außerdem, die quelloffene Lizenz des Nessus-Kerns spiele hauptsächlich der Konkurrenz in die Arme, was seiner Firma, die er 2002 zusammen mit Ron Gula um das Nessus-Projekt gründete, letztlich schade.

Laut eines NewsForge-Berichts begründete Ron Gula, derzeit Geschäftsführer und Chef-Techniker von Tenable, den Schritt damit, dass sich für Nessus durch eine Closed-Source-Lizenz ein wesentlich größerer Teil des US-Marktes erschließe, als es unter einer quelloffenen Lizenz der Fall sei. Es gebe "viele Leute in großen Organisationen, die keine Open-Source-Software in ihren Unternehmen einsetzen" könnten. Er versuche so, die Zahl der tatsächlichen Nessus-Anwender im kommerziellen Bereich zu steigern.

Das Nessus-Projekt besteht aus dem für viele Betriebssysteme erhältlichen Scanner, einem Client zur Steuerung mit einer grafischen Benutzeroberfläche, die laut Roadmap in Zukunft eigenständiger Projektteil sein werden, sowie rund 9000 systemunabhängigen Plug-ins mit den eigentlichen Funktionen zur Überprüfung der einzelnen Verwundbarkeiten. Das bisherige Geschäftsmodell von Tenable sah neben kostenpflichtigem Support vor, die eigenen Plug-ins sowohl in einem kommerziellen, als auch in einem kostenlosen Feed anzubieten: Zahlenden Kunden werden neue Plug-ins umgehend, allen anderen erst nach sieben Tagen zur Verfügung gestellt. Plug-ins externer Programmierer werden zu jeweils deren Konditionen verbreitet.

Das bei vielen Projekten bisher eingesetzte Geschäftsmodell, Software unter GPL zu entwickeln, aber umfassenden Support, Aktualität oder zusätzliche Features am Markt zu verkaufen, scheint unter Druck zu geraten. Zwar finanzieren sich einige Projekte, wie beispielsweise die Datenbank MySQL, der Terminal-Server-Dienst NX von Nomachine und der auf aktuelle Spiele optimierte Windows-Emulator WineX von TransGaming nach diesem Prinzip, aber wie sich bereits mit dem Kauf von Snort durch Check Point andeutete, zeichnen sich zumindest im Open-Source-Security-Bereich nun deutliche Umbrüche ab.

Die aktuelle Version 2 von Nessus wird weiterhin unter GPL stehen und soll von Tenable laut eigener Darstellung weiterhin mit Bugfixes versorgt werden. Deraison hat außerdem angekündigt, dass Nessus 3 kompatibel zu alten Plug-ins sein wird, die Aufgrund ihrer Skript-Natur auch in der neuen Version offen einsehbar bleiben. Ob sich aber mit Nessus 2 ein eigenständiger GPL-Fork etablieren kann, ist auf Grund der angeblich überschaubaren Nessus-Community fraglich. (cr)