Mitchell Ashley和我当时正在建造StillSecure。下面米切尔和我将讨论这个问题。20分钟的开放id历史。你在那里:
我最初参与了Snort社区,当时我帮助创建的公司StillSecure推出了一种基于Snort的IPS,称为Strataguard。当时马蒂刚刚创建Sourcefire。有许多公司销售Snort的前端,还有许多其他公司在后台使用Snort,并且不告诉任何人。我们是少数几个明确表示我们的产品是基于snort的公司之一。Marty Roesch对所有销售基于Snort的产品的公司却不向Sourcefire支付任何费用,甚至不承认他们的产品是基于Snort的感到不满。
与此同时,还有一些问题(非常少的人):随着Sourcefire的创建,Snort是否会保持开放状态,社区贡献的内容是否会被用于官方发行版,或许最重要的是,非Sourcefire开发人员贡献的代码会怎么样?他们会保留自己的版权和知识产权吗?您可以返回并检查Snort邮件列表存档中的所有内容。
谁带头流血喷鼻?你猜对了,Matt Jonkman。Matt与使用Snort的公司合作得很好,他们担心Sourcefire会试图迫使他们停止使用。我的公司仍然是其中一家。我们和Demarc以及其他几家公司一起赞助了出血Snort,它后来被称为出血边缘。
事实上,出血Snort/出血边缘规则集非常好,以至于许多人认为它优于官方的Snort规则集。那时Sourcefire仍在努力寻找商业市场中的利基,所有的Snort竞争都是一个眼中刺。马特和流血的社区被视为潜在的威胁。虽然在表面上和公开场合很少有互动和敌意,但我可以告诉你,在幕后有很多紧张。就我个人而言,我经常与马特交谈,也会与马蒂·罗斯(Marty Roesch)交换电子邮件和帖子。
Sourcefire最终提出了他们的VRT认证规则集。关于这个规则集的事情不是关于质量,而是关于它不是开源的。马蒂和Sourcefire团队借鉴Nessus和站得住脚的网络安全,宣称尽管Snort本身和总是保持开源,Snort运行的规则并不开放,如果你是要用他们自己的产品,你就必须支付费用。
对于一般的snort用户来说,这不是什么大问题。他们仍然没有付钱就得到了VRT规则。对于使用Snort规则的公司来说,这是一个主要问题。这使得更多的人来到了流血的边缘社区。在StillSecure,我们试着鱼与熊掌兼得。我们赞助并成为了“前沿”的主要贡献者,但也投入了10k作为VRT的合作伙伴,并允许分发官方规则集。
我可以告诉你,这引起了很多人的反感,包括马特。从那时起,在我与Matt的讨论中,我就非常清楚他会喜欢使用fork Snort或做出更好的Snort。他离开了出血边缘,基本上把它卖给了另一家公司(我不记得是谁了)。如果有人这样做,请留下评论)。
不久之后,马特带着新的威胁回来了,这是一种新的边缘社区。这个时候我和马特谈了很多。很明显,马特的目标是新的威胁。同时,Sourcefire和其他使用Snort的公司之间也形成了一种平衡。我认为Sourcefire意识到,所有使用Snort的公司都只是帮助使Snort成为他们所宣称的“事实上的标准”。
然而,背后的紧张情绪仍在发酵。马特觉得Snort的速度跟不上新技术的发展。他觉得Sourcefire是出于自身的商业原因而阻碍了它的发展(可能是这样)。当他有机会得到一些政府的资金并创建一个替代方案时,他欣然接受了。
但是,为什么政府想要一个Snort替代方案,为什么公司会加入他的新方案呢OISF吗?我不相信这完全是政府认为Snort被冲上了。我认为这更像是一种对冲。当时检查站试图购买Sourcefire。政府以国家安全为由否决了该交易。中国人试图通过3Com收购Tipping Point。我认为美国政府想要确保他们在id /IPS领域有另一种选择,而不是被外国实体控制。通过提供他们自己的id,他们被保证能够访问“美国制造”的id。那么OISF的其他赞助者呢?嘿,他们还是不相信Sourcefire能把鼻子从下面拉出来。
所以,当你读到关于Snort的死以及为什么Suricata可能更好或更好的消息时,你应该记住这里的历史。就像有人曾经说过的,通过学习历史,你注定不会重复你的错误(或类似的事情)