OpenVAS – Open Vulnerability Assessment Scanner

Geschiedenis van OpenVAS

In 2005 besloten de ontwikkelaars van de kwetsbaarheidsscanner Nessus het werk onder Open Source licenties te staken en over te stappen op een propriëtair bedrijfsmodel.

Op dat moment droegen ontwikkelaars van Intevation en DN-Systems (de twee bedrijven die later Greenbone Networks zouden oprichten) al bij aan de ontwikkeling van Nessus, waarbij de nadruk lag op clienttools. De werkzaamheden werden voornamelijk ondersteund door het Duitse Federale Bureau voor Informatiebeveiliging (BSI) In 2006 werden verschillende forks van Nessus gemaakt als reactie op de stopzetting van de Open Source oplossing. Van deze forks is er slechts één actief gebleven: OpenVAS, het Open Vulnerability Assessment System.OpenVAS werd geregistreerd als een project bij Software in the Public Interest, Inc.om het domein “openvas.org” te behouden en te beschermen.

De jaren 2006 en 2007 kenden weinig activiteit buiten het opschonen van de status-quo.Maar eind 2008 werd het bedrijf Greenbone Networks GmbH, gevestigd in Osnabrück, Duitsland opgericht om OpenVAS vooruit te helpen. In essentie draaide het businessplan van Greenbone om 3 hoekstenen: 1. Verder gaan dan het scannen van kwetsbaarheden naar een uitgebreide oplossing voor het beheer van kwetsbaarheden. 2. Een kant-en-klaar appliance-product maken voor enterprise-klanten. 3. Het Open Source-concept voortzetten om transparante beveiligingstechnologie te creëren.

Ook in 2008 werden twee andere bedrijven actief, Secpodf uit India en Security Space uit Canada.Beide bedrijven richtten zich op het bijdragen van kwetsbaarheidstests en werkten samen met Greenbone om een betrouwbare en actuele feed van kwetsbaarheidstests te produceren. Dit begon met het verwijderen van broncode en kwetsbaarheidstests waarvan de licentie niet duidelijk of niet compatibel was. Enkele duizenden kwetsbaarheidstesten werden geëlimineerd om een zuiver beginpunt te hebben. Kort daarna groeide de inhoud van de feed snel en gestaag.

In 2009 voegde Greenbone de eerste aanvullende modules toe om een oplossing voor het beheer van kwetsbaarheden te bouwen.De webinterface en de centrale beheerdienst werden vanaf nul ontwikkeld, met generieke protocollen als hun API.Tegelijkertijd werd de OpenVAS-scanner zorgvuldig verbeterd, en verloor al snel compatibiliteit met zijn voorganger. Alle Open Source werken werden gepubliceerd onder de merknaam “OpenVAS”. De eerste “Greenbone Security Manager”-applianceproducten kwamen in het voorjaar van 2010 op de markt.

In de jaren 2010 tot 2016 werd het commerciële product systematisch verbeterd en uitgebreid, net als de Open Source-modules. Het beheer van kwetsbaarheden werd uitgebreid met dagelijks bijgewerkte beveiligingsadviezen, die openbaar werden gemaakt met een GPL-compatibele licentie van de Duitse CERT’s DFN-CERT en CERT-Bund, een afdeling van het Federaal Bureau voor Informatiebeveiliging (BSI) die OpenVAS in de loop van deze jaren op verschillende manieren heeft ondersteund.

In maart 2017 bereikte het zogeheten OpenVAS-framework versie 9. Tijdens de releasecycli werden veel nieuwe modules en talrijkefeatures toegevoegd. Er werden enkele honderdduizenden regels code geproduceerd en er was bijna geen dag zonder een paar gepubliceerde codeverbeteringen door een groeiend ontwikkelaarsteam.

Het jaar 2017 markeerde het begin van een nieuw tijdperk: Allereerst werd Greenbone zichtbaar als de drijvende kracht achter OpenVAS, waardoor de merkverwarring afnam. Dit omvatte verschillende activiteiten, de meest essentiële was de hernoeming van het “OpenVAS framework” naar “Greenbone Vulnerability Management” (GVM), waarvan de OpenVAS Scanner een van de vele modules is.Het leidde ook tot “GVM-10” als de opvolger van “OpenVAS-9”. Er vonden geen licentieveranderingen plaats, alle modules blevenOpen Source.

De tweede grote verandering in 2017 ging over de feed service. Afgezien van de verwarring over de merknaam, integreerden verschillende bedrijven de technologie en de feed en deden ze het voorkomen als hun werk of beweerden ze dat ze een alternatief waren voor het product van Greenbone tegen een betere prijs. Slechts een minderheid van hen hield zich correct aan de GPL-licenties. Geen van hen werkt commercieel samen met Greenbone. Om een betere zichtbaarheid, minder misverstanden en een beter onderscheid met andere op OpenVAS gebaseerde producten te bereiken, is de publieke feed omgedoopt tot “Greenbone Community Feed” en is de ontwikkeling van de feed intern aangepakt. Verder veranderde het releaseschema van een vertraging van 14 dagen naar een dagelijkse publicatie zonder vertraging, waarbij nu geen kwetsbaarheidstests voor enterprise-producten meer zijn opgenomen.

De derde grote verandering naar het nieuwe tijdperk was de overgang naar een moderne infrastructuur, namelijk GitHub en een community forum. De hele overgang werd in 2018 voltooid en stimuleerde zowel de productiviteit als de activiteit van de community.

In 2019 werd de merkenscheiding voltooid. OpenVAS vertegenwoordigt nu de eigenlijke kwetsbaarheidsscanner zoals het oorspronkelijk deed en de “S” in “OpenVAS” staat nu voor “Scanner” in plaats van “Systeem”.Deze veranderingen gaan gepaard met een bijgewerkt OpenVAS-logo.Het framework waarin OpenVAS is ingebed, is de Greenbone Vulnerability Management (GVM).

OpenVAS uitgebracht met GVM-10 krijgt talrijke prestatie-optimalisaties om de uitdaging aan te gaan van een groeiend aantal kwetsbaarheidstesten, het scannen van doelnetwerken van toenemende omvang enheterogeniteit.

OpenVAS uitgebracht met GVM-11 introduceert substantiële wijzigingen in de architectuur: De voormalige service “openvassd” is veranderd in een command line tool “openvas”. Het wordt gecontroleerd door de service layerospd-openvas. Dit concept vervangt in wezen de oude stateful, permanente en proprietry OTP (OpenVAS Transfer Protocol) door de nieuwe state-less, request-response XML-gebaseerde en generieke OSP (Open Scanner Protocol).