对于一个流行的纯自由/开源软件项目来说,被商业竞争对手收购大概是最终可能发生的最好的事情了。这似乎与自由软件的愿景相反,但这是真的,如果像Daniel Cid,创始人开源安全,基于主机的入侵检测系统(OSSEC)),HD Moore, Metasploit的创始人,都是值得相信的。(他们会知道的。)
丹尼尔有两年从免费到商业化的过渡经验,虽然这次出售没有使他像拉里·埃里森那样富有,但他说这是迄今为止发生在OSSEC身上最好的事情。
当我问丹尼尔是否计划过自己发布一个商业版本时,他说:“人们都想要一个,但我是一个开发人员,不是一个商人。我擅长编程,但不擅长做生意。当第三旅提出[购买OSSEC]时,这是一件完美的事情。我可以专注于代码库,让他们专注于业务。”
实际上,在OSSEC的故事中(到目前为止,在HD Moore的Metasploit故事中也没有),没有任何东西表明被商业实体收购对它没有帮助。第三旅在2008年6月购买了OSSEC,然后趋势科技收购了第三旅2009年8月。在两次所有权的变更中,开源社区都表达了对OSSEC将被扼杀的担忧——尤其是在趋势科技还不是开源的主要支持者的情况下。
然而,事实并非如此。在收购第三旅之前,该项目每月有5000次下载。如今,它的每月下载量达到了2万次,丹尼尔说。
“人们总是害怕变化……他们不喜欢改变,他们担心这个项目的未来会变得不那么开放。过了一段时间,当他们看到我们保持项目开源时,他们非常高兴我们收购了它。在过去的两年里,我们已经有了两个大版本和三个小版本——在这两年里,我们添加了很多东西,我们进展得更快了,”他说。
考虑到另一种情况——如果丹尼尔·Cid拒绝了这笔钱(和帮助),并且继续埋头工作,OSSEC就会越来越受欢迎。自由/开源软件可能是关于众包的,但是大部分的工作仍然落在项目领导的肩上。“大多数时候,我是唯一一个(在OSSEC工作)的人。一些用户帮助做了补丁,但我是主要的开发人员,完成了90%的工作。我每天晚上和周末都在做这件事,”他描述道。
他说,编程对丹尼尔来说是一种“激情”,这意味着如果有选择,他无论如何都会把周末的时间花在编程上。但现在,他有另外五个人和他一起做这个项目(这当然会让他的妻子更开心)。趋势科技收购OSSEC两个月后发布了该项目的新版本。
按照我的想法,如果没有商业支持,一个流行的自由/开源软件项目更有可能因为它自己的流行而被扼杀,而不是因为它的竞争对手不想要免费的版本而被扼杀。
与Metasploit一样,商业版本使用了与免费软件相同的代码基础,但是,Daniel说,“OSSEC是一个非常命令行的工具,对用户不是那么友好。它没有企业想要的功能,比如流畅的网络界面。”因此,企业版增加了管理界面、更好的报表以及通过将OSSEC与其他安全工具(如防火墙)集成在一起的附加特性。最新的版本于4月发布。
像OSSEC和Metasploit这样的故事可能会越来越常见。Sourceforge托管大约7000个安全项目。丹尼尔说:“这7K中只有10%能够存活;他们似乎死得很快。”安全性是软件开发的一个领域,在这个领域中开放源码和专有选项可以共存。“我仍然认为,从长远来看,开源将比封闭更安全——人们总是在捕捉漏洞。”但他也看到越来越多的大公司被收购,或者自己做广告,“以赚取一些钱……只在周末做开发人员是非常困难的。”
顺便说一下,OSSEC最近变得更强大了,不可变安全博客创造了这个术语“OSSEC效应OSSEC监视如此之多的条目,以至于系统管理员会回答安全团队提出的许多问题,比如“嘿,我在日志中看到了这个,您是否更改了什么?”
这将导致OSSEC效应。它的意思是:当计算机用户知道自己的行为被监视,但不了解监视的程度时,他们的行为发生改变。用户会在没有挑衅的情况下自愿提供他们认为有问题的信息,不管监控系统是否知道。”
现在,这就是成功。