除了新的社区版本,Moore在与我的讨论中指出,自从Rapid7收购Metasploit以来,框架的代码库增长了156%。这代表了项目中几乎每个领域的大量工作。由于开源框架中有如此多的可用性,Moore和他的团队对谁在使用Metasploit做了一项研究。他们的研究表明,Metasploit用户分为两组。一个是像Moore自己这样的高级用户,他们非常习惯从命令行使用框架。另一组在没有某种GUI来管理Metasploit的情况下无法获得最大的Metasploit。对于这个组,出现了几个Java前端和其他前端。Moore很感激社区对这部分用户的需求做出了回应,他认为需要一个更全面的GUI。因为Rapid7已经为商业版开发了界面,所以决定将其推广给所有人。
Rapid7 CSO和Metasploit首席架构师HD Moore说:“应对日益增长的信息安全挑战的最佳方式是在从业者、开源项目和商业供应商之间共享知识。”考虑到这一点,我们将Metasploit框架与Rapid7的商业开发结合起来,将世界各地的安全研究人员的合作与质量测试和稳定的商业特性结合起来。新的Metasploit社区版将极大地帮助寻求理解风险和改进他们的安全程序,而不需要增加预算。
Metasploit框架的用户分为两大阵营:首先,有一些安全研究人员和开发人员想要一个强大的平台来构建自定义工具和流程。现在,命令行界面非常适合它们,我们将继续在这个界面上进行投资。其次,Metasploit框架被安全和IT专业人员用于验证漏洞和进行安全评估。对于这组用户,命令行控制台可能不是最适合的。Metasploit Community Edition为这个群体提供了一种更容易获得的解决方案——而且是免费的。””
使用GUI,用户不仅可以运行Metasploit,还可以从一些第三方工具,包括Rapid7自己的Nexpose扫描仪导入漏洞扫描数据。此外,如果Metasploit Community Edition用户碰巧也是Nexpose客户,则可以通过Nexpose启动扫描。对于那些认为它会带来快速而不公平的优势的人来说,这种来自同一家公司的工具之间的集成应该是可以期待的。
社区版将是笔测试工具包中一个受欢迎的新成员。然而,有些人会说这是远离开源的一步。虽然社区版是免费的,但它不是开源的。这是一个滑坡,其他开源工具安全工具以前已经滑过了。我使用Snort和Nessus作为示例向Moore询问了这个问题。Moore说Metasploit是不同的(你能指望他说什么),因为他们不会分离签名或新的利用或他们的饲料,并使他们不开放。这里没有打开的是GUI,但是在GUI之下运行的Metasploit框架是相同的开放源码版本,它仍然是开放的。
这将使Rapid7和Metasploit团队更容易保持产品的不同版本的同步。总而言之,两年之后,Rapid7继续在Metasploit上做得很好,使其成为世界各地钢笔测试者的首选工具,并使一个繁荣、增长的社区保持快乐。这在很大程度上要归功于HD Moore自己,他把社区的脉搏紧紧地放在心上。祝贺Rapid7和Metasploit,祝贺它们多年来提供了优秀的开源和安全解决方案。