OpenVAS – Open Vulnerability Assessment Scanner

Historia OpenVAS

W 2005 roku, twórcy skanera podatności Nessus postanowili zaprzestać pracy na licencjach Open Source i przejść na własnościowy model biznesowy.

W tym momencie programiści z Intevation i DN-Systems (dwie firmy, które później stworzyły Greenbone Networks) już wnosili wkład w rozwój Nessusa, skupiając się na narzędziach klienckich. Prace te były wspierane głównie przez niemiecki Federalny Urząd Bezpieczeństwa Informacji (BSI) W 2006 roku powstało kilka forków Nessusa, które były reakcją na zaprzestanie działalności rozwiązania Open Source.Spośród tych forków tylko jeden nadal wykazywał aktywność: OpenVAS, the Open Vulnerability Assessment System.OpenVAS został zarejestrowany jako projekt w Software in the Public Interest, Inc.w celu posiadania i ochrony domeny „openvas.org”.

W latach 2006 i 2007 aktywność firmy była niewielka, poza porządkowaniem status quo.Jednak pod koniec 2008 roku powstała firma Greenbone Networks GmbH z siedzibą w Osnabrück w Niemczech, której celem było rozwinięcie OpenVAS.Zasadniczo, biznes plan Greenbone opierał się na 3 filarach: 1. Wyjść poza zwykłe skanowanie podatności w kierunku kompleksowego rozwiązania do zarządzania podatnościami. 2. Stworzyć produkt typu appliance „pod klucz” dla klientów korporacyjnych. 3. Kontynuować koncepcję Open Source tworząc przejrzystą technologię bezpieczeństwa.

W 2008 roku, dwie kolejne firmy rozpoczęły działalność, Secpod z Indii i Security Space z Kanady.Obie skupiły się na tworzeniu testów luk w zabezpieczeniach i podjęły współpracę z Greenbone w celu stworzenia wiarygodnej i aktualnej bazy testów luk w zabezpieczeniach. Zaczęło się od usunięcia wszelkich kodów źródłowych i testów luk w zabezpieczeniach, których licencja nie była jasna lub niezgodna. Kilka tysięcy testów podatności zostało wyeliminowanych, aby uzyskać czysty punkt wyjścia. Wkrótce potem zawartość kanału zaczęła szybko i stabilnie rosnąć.

W 2009 roku Greenbone dodała pierwsze dodatkowe moduły, aby stworzyć rozwiązanie do zarządzania podatnościami.Interfejs webowy i centralna usługa zarządzania zostały opracowane od podstaw, definiując generyczne protokoły jako ich API. W tym samym czasie skaner OpenVAS został starannie ulepszony i szybko stracił kompatybilność ze swoim przodkiem. Wszystkie prace Open Source były publikowane pod marką „OpenVAS”. Pierwsze produkty typu appliance „Greenbone Security Manager” pojawiły się na rynku wiosną 2010 roku.

W latach 2010-2016 produkt komercyjny był systematycznie ulepszany i rozbudowywany, podobnie jak moduły Open Source. Zarządzanie podatnościami na ataki zostało rozszerzone o codzienne aktualizowane komunikaty bezpieczeństwa, udostępnione publicznie na licencji GPL przez niemieckie zespoły CERT DFN-CERT i CERT-Bund, oddział Federalnego Urzędu Bezpieczeństwa Informacji (BSI), który przez te lata wspierał OpenVAS na różne sposoby.

W marcu 2017 r. tzw. framework OpenVAS osiągnął wersję 9. W trakcie cykli wydawniczych dodano wiele nowych modułów oraz liczne funkcje. Powstało kilkaset tysięcy linii kodu i prawie nie było dnia bez kilku opublikowanych poprawek kodu przez rosnący zespół programistów.

Rok 2017 był początkiem nowej ery: Po pierwsze, Greenbone stał się widoczny jako siła napędowa OpenVAS, zmniejszając zamieszanie związane z marką. Obejmowało to szereg działań, z których najistotniejszym była zmiana nazwy „OpenVAS framework” na „Greenbone Vulnerability Management” (GVM), którego jednym z modułów jest OpenVAS Scanner, a także doprowadzenie do powstania „GVM-10” jako następcy „OpenVAS-9”. Nie doszło do żadnych zmian licencyjnych, wszystkie moduły pozostałyOpen Source.

Druga duża zmiana w 2017 roku dotyczyła serwisu feed. Oprócz zamieszania związanego z marką, kilka firm integrowało technologię i paszę i podawało ją jako swoją pracę lub twierdziło, że jest alternatywą dla produktu Greenbone w lepszej cenie. Tylko mniejszość z nich stosowała się do licencji GPL. Żaden z nich nie współpracuje z Greenbone komercyjnie. W celu osiągnięcia lepszej widoczności, mniejszego niezrozumienia i lepszego odróżnienia od innych produktów opartych na OpenVAS, publiczny feed został przemianowany na „Greenbone Community Feed”, a rozwój feedu został zinternalizowany. Ponadto, schemat wydawania zmienił się z 14-dniowego opóźnienia na codzienną publikację bez opóźnień, gdzie teraz testy podatności dla produktów korporacyjnych nie są już uwzględniane.

Trzecią dużą zmianą w kierunku nowej ery było przejście na nowoczesną infrastrukturę, a mianowicie GitHub i forum społeczności. Cała transformacja została zakończona w 2018 roku i zwiększyła zarówno produktywność, jak i aktywność społeczności.

W 2019 roku zakończono separację marki. OpenVAS reprezentuje teraz rzeczywisty skaner podatności, tak jak to miało miejsce pierwotnie, a „S” w „OpenVAS” oznacza teraz „Scanner”, a nie „System”.Zmianom tym towarzyszy zaktualizowane logo OpenVAS.Framework, w którym osadzony jest OpenVAS, to Greenbone Vulnerability Management (GVM).

OpenVAS wydany z GVM-10 otrzymał liczne optymalizacje wydajności, aby sprostać wyzwaniu rosnącej liczby testów podatności, skanowania sieci docelowych o coraz większym rozmiarze i niejednorodności.

OpenVAS wydany z GVM-11 wprowadza znaczące zmiany w architekturze: Dotychczasowa usługa „openvassd” została przekształcona w narzędzie wiersza poleceń „openvas”. Jest ono kontrolowane przez warstwę usługospd-openvas. Koncepcja ta zasadniczo zastępuje stary stanowy, stały i własnościowy protokół OTP (OpenVAS Transfer Protocol) nowym bezstanowym, żądanie-odpowiedź opartym na XML i generycznym OSP (Open Scanner Protocol).