Articles

OpenVAS – Open Vulnerability Assessment Scanner

Geschichte von OpenVAS

Im Jahr 2005 beschlossen die Entwickler des Schwachstellen-Scanners Nessus, die Arbeit unter Open-Source-Lizenzen einzustellen und auf ein proprietäres Geschäftsmodell umzustellen.

Zu diesem Zeitpunkt hatten bereits Entwickler von Intevation und DN-Systems (die beiden Firmen, die später Greenbone Networks gründen sollten) Entwicklungen zu Nessus beigetragen, die sich auf Client-Tools konzentrierten. Unterstützt wurden die Arbeiten vor allem durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Als Reaktion auf die Einstellung der Open-Source-Lösung entstanden 2006 mehrere Forks von Nessus, von denen nur einer weiterhin Aktivität zeigte: OpenVAS, das Open Vulnerability Assessment System.

OpenVAS wurde als Projekt bei Software in the Public Interest, Inc. registriert, um die Domain „openvas.org“ zu halten und zu schützen.

Die Jahre 2006 und 2007 hatten wenig Aktivität jenseits von Bereinigungen des Status Quo.Doch Ende 2008 wurde die Firma Greenbone Networks GmbH mit Sitz in Osnabrück gegründet, um OpenVAS voranzutreiben.

  • 1. Über das reine Scannen von Schwachstellen hinausgehen und eine umfassende Lösung für das Schwachstellenmanagement entwickeln.
  • 2. Ein schlüsselfertiges Appliance-Produkt für Unternehmenskunden entwickeln.
  • 3. Das Open-Source-Konzept fortsetzen, um transparente Sicherheitstechnologie zu schaffen.

Auch im Jahr 2008 wurden zwei weitere Unternehmen aktiv, Secpodfrom Indien und Security Space aus Kanada.Beide haben sich auf das Einbringen von Schwachstellentests konzentriert und sich mit Greenbone zusammengetan, um einen verlässlichen und aktuellen Feed von Schwachstellentests zu erstellen, der damit begann, Quellcode und Schwachstellentests zu entfernen, deren Lizenz nicht eindeutig oder nicht kompatibel war. Mehrere Tausend Schwachstellentests wurden eliminiert, um einen sauberen Startpunkt zu erhalten. Kurz darauf wuchs der Inhalt des Feeds schnell und stetig.

Im Jahr 2009 fügte Greenbone die ersten zusätzlichen Module hinzu, um eine Schwachstellen-Management-Lösung aufzubauen.Die Weboberfläche und der zentrale Verwaltungsdienst wurden von Grund auf neu entwickelt, wobei als API generische Protokolle definiert wurden.Gleichzeitig wurde der OpenVAS-Scanner behutsam verbessert, der schnell die Kompatibilität zu seinem Vorgänger verlor. Alle Open-Source-Werke wurden unter der Marke „OpenVAS“ veröffentlicht. Im Frühjahr 2010 kamen die ersten „Greenbone Security Manager“-Appliance-Produkte auf den Markt.

In den Jahren 2010 bis 2016 wurde das kommerzielle Produkt systematisch verbessert und erweitert, ebenso wie die Open-Source-Module. Das Schwachstellenmanagement wurde um tagesaktuelle Sicherheitshinweise erweitert, die unter einer GPL-kompatiblen Lizenz von den deutschen CERTs DFN-CERT und CERT-Bund, einer Abteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die OpenVAS in diesen Jahren in vielfältiger Weise unterstützten, der Öffentlichkeit zur Verfügung gestellt wurden.

Im März 2017 erreichte das sogenannte OpenVAS-Framework Version 9. In den Release-Zyklen wurden viele neue Module und zahlreiche Features hinzugefügt. Einige hunderttausend Zeilen Code wurden produziert und es gab fast keinen Tag ohne ein paar veröffentlichte Code-Verbesserungen durch ein wachsendes Entwicklerteam.

Das Jahr 2017 markierte den Beginn einer neuen Ära: Zunächst wurde Greenbone als die treibende Kraft hinter OpenVAS sichtbar, wodurch die Markenverwirrung reduziert wurde. Dazu gehörten mehrere Aktivitäten, die wesentlichste war die Umbenennung des „OpenVAS-Frameworks“ in „Greenbone Vulnerability Management“ (GVM), von dem der OpenVAS-Scanner eines von vielen Modulen ist, sowie die Einführung von „GVM-10“ als Nachfolger von „OpenVAS-9“. Es gab keine Lizenzänderungen, alle Module bliebenOpen Source.

Die zweite große Änderung in 2017 betraf den Feed-Service. Abgesehen von der Branding-Verwirrung integrierten mehrere Firmen die Technologie und den Feed und gaben ihn als ihre Arbeit aus oder behaupteten, eine Alternative zu Greenbones Produkt zu einem besseren Preis zu sein. Nur eine Minderheit von ihnen hielt sich korrekt an die GPL-Lizenzen. Keiner von ihnen kooperiert kommerziell mitGreenbone. Um eine bessere Sichtbarkeit, weniger Missverständnisse und eine bessere Abgrenzung zu anderen OpenVAS-basierten Produkten zu erreichen, wurde der öffentliche Feed in „Greenbone Community Feed“ umbenannt und die Entwicklung des Feeds wurde internalisiert. Außerdem wurde das Veröffentlichungsschema von einer 14-tägigen Verzögerung auf eine tägliche Veröffentlichung ohne Verzögerung geändert, wobei nun keine Schwachstellentests für Unternehmensprodukte mehr enthalten sind.

Die dritte große Veränderung zur neuen Ära war der Übergang zu einer modernen Infrastruktur, nämlich GitHub und einem Community-Forum. Die gesamte Umstellung wurde 2018 abgeschlossen und steigerte sowohl die Produktivität als auch die Aktivität der Community.

Im Jahr 2019 wurde die Trennung des Brandings abgeschlossen. OpenVAS repräsentiert nun wie ursprünglich den eigentlichen Schwachstellen-Scanner und das „S“ in „OpenVAS“ steht nun für „Scanner“ und nicht mehr für „System“.

Diese Änderungen werden von einem aktualisierten OpenVAS-Logo begleitet.

Das Framework, in das OpenVAS eingebettet ist, ist das Greenbone Vulnerability Management (GVM).

OpenVAS, das mit GVM-10 veröffentlicht wurde, erhält zahlreiche Leistungsoptimierungen, um der Herausforderung einer wachsenden Anzahl von Schwachstellentests zu begegnen, die Zielnetzwerke von zunehmender Größe und Heterogenität scannen.

OpenVAS, das mit GVM-11 veröffentlicht wurde, führt wesentliche Architekturänderungen ein: Der frühere Dienst „openvassd“ wird in ein Kommandozeilen-Tool „openvas“ umgewandelt. Es wird von der Dienstschicht „openvassd-openvas“ gesteuert. Dieses Konzept ersetzt im Wesentlichen das alte zustandsabhängige, permanente und proprietäre OTP (OpenVAS Transfer Protocol) durch das neue zustandslose, Request-Response XML-basierte und generische OSP (Open Scanner Protocol).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.