OSVDB 创始人:开源漏洞数据库现在为何关闭了?

开源漏洞数据库OSVDB是一个建立于2002年的独立安全漏洞信息的开放平台,研究者可以不受大型企业软件公司的监督自主进行安全信息的交流。

开源漏洞数据库关闭了

本周二,OSVDB博客宣布这个经营了14年的开源漏洞数据库关闭,并且未来不会重新开放。

“这不是一个容易的决定,我们几个人经过十多年的努力,付出巨大的个人牺牲,希望它能正常运营。而根本就没有希望得到业内贡献和支持这种努力。OSVDB博客将继续为这个充满漏洞的世界提供一个可以评论一切事物的地方。”

OSVDB的创始人之一是知名的白帽黑客HD Moore,他是渗透测试工具Metasploit框架的开发者,曾就职于Rapid7,今年1月离职加入一家风险投资公司专注于创业项目。

Moore接受了媒体的邮件采访,详细介绍了OSVDB从生到死的坎坷之路。

最初创立OSVDB项目是出于什么原因呢?

HD Moore:OSVDB项目最初源于我、RFP(Rain Forest Puppy,另一名白帽黑客)、Steve Manzuik、Chris Wy以及一些朋友的一次谈话,我们对赛门铁克在收购SecurityFocus之后Bugtraq数据库的状况表示担忧。可是现在讽刺的是,赛门铁克旗下的Bugtraq/SecurityFocus活得要比OSVDB还要久。

我们这群人在一起讨论了OSVDB应当是什么样子的,谁为它筹资,它该如何运作。几个月之后,这个项目失去了动力,最初的研究者(包括我在内)几乎要放弃它了。

那么之后又发生了什么?

HD Moore:几个月之后,Jake Kouns接管了这个项目,为OSVDB创建了开源安全基金,Forrest Rae重新编写了代码库,Brian Martin(jericho)也参与进来。包括我在内的许多安全行业人事连续多年为其提供内容支持。至于基金支持方面,据我所知并没有许多现金直接投入进来,但是和Digital Defense一样,有许多开发者投入了自己的时间和主机服务器。Jake和团队的确让项目取得了巨大的可见性成绩,但是却难以得到后端代码库的支持,因此社区开始有人吐槽。

然后又怎么了?

HD Moore:“开源”意味着数据是公开的,而“被开源”则指代他们拥有全部数据,Jake开始抱怨社区做出的贡献并不够。Jake每年都会进行一次威胁,说要关闭这个项目,同时强调如果雇佣海外编辑而非安全社区将会有多大好处。在2005年,OSVDB的未来就已经埋下了“关闭”的宿命。

Jake随后开始了Risk BasedSecurity,获得了OSVDB内容的独家特许,货币化运作,同时在理论上将一些资金用于托管和操作。然后出现了许多博客抱怨数据遭到“窃取”,大公司开始运行Web Scraper,对Jake的这个项目表达了反对。

为何现在要关闭它?

HD Moore:最大的问题其实是它的名字:OSVDB是以Open(打开)开始,但是却越来越难以实现。最初在登录之后可以进行批量下载,后来则完全不能进行。今年则会全部关闭。

这个项目和OSVDB一样,在几个月之前就已经处于半死不活的状态了。我认为他们从去年年中开始拒绝接受外部捐助。今年二月起,整个公共Web站点开始重定向到这个博客。

这样一来,随时都可以“了结”了整个网站。

此举对安全社区会造成怎样的影响?

HD Moore:许多安全产品使用了OSVDB参考(其中当然包括Metasploit),现在这些链接都指向了一个不存在的地址。许多漏洞只有OSVDB的ID账号。所有这些内容都需要更新到一个新的地址。由于内容仅供商业使用,如果有人通过镜像获取内容,则是违法的。

OSVDB有一个很棒的数据模型,内容非常全面。因此在对漏洞进行更新的同时,还要维护旧漏洞发生的变化就需要做出很大的努力。

曾经我们也讨论过很多次什么会取代OSVDB以及未来它会变成什么样子。有一些基础的标识符(DWF、OpenWall的生成器等等)努力,但是仍无法建立一个全面、具有历史价值的漏洞数据库。目前已经有不少公司能够利用他们自己的商业数据集构建一个新的数据库,例如qualys、tenable、rapid7、securia、ibm等等,只是目前还不清楚他们对这么做是否有兴趣。

====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-11-05 12:31:54

OSVDB 创始人:开源漏洞数据库现在为何关闭了?的相关文章

​开源漏洞数据库 OSVDB 已经关闭

开源漏洞数据库 OSVDB 已经关闭. "这不是一个容易的决定,我们几个人经过十多年的努力,付出巨大的个人牺牲,希望它能正常运营.而根本就没有希望得到业内贡献和支持这种努力.OSVDB博客将继续为这个充满漏洞的世界提供一个可以评论一切事物的地方."(感谢 Paul WISE) ====================================分割线================================文章转载自 开源中国社区[http://www.oschina.net

开源面向对象数据库db4o之旅,第3部分 深入db4o

前言 在开源面向对象数据库 db4o 之旅 系列文章的第 1 部分:初识 db4o 中, 作者介绍了 db4o 的历史和现状,应用领域,以及和 ORM 等的比较: 在第 2 部分:db4o 查询方式中, 作者介绍了 db4o 的三种不同的查询方式:QBE.SODA 以及 Native Queries,并分别通过这三种不同的途径实现了两个关联对象的查 询. 前面我们已经介绍了如何在 db4o 中查询以及添加对象,在本文中我们将会 向您介绍在 db4o 中如何对对象进行更新以及删除操作. 更新数据

jQuery谷歌地图插件Maplace(图中附送如何攻击开源中国数据库)

jQuery谷歌地图插件Maplace 图中附送如何攻击开源中国数据库..   var P1 = [ { lat: 45.468945, lon: 45.73684365, title: 'Title', html: 'Content', zoom: 10, animation: google.maps.Animation.DROP } ]; var LocsA = [ { lat: 45.9, lon: 10.9, title: 'Title A1', html: '<h3>Content

Oracle数据库几种关闭方式

oracle|数据|数据库 1.shutdown normal 正常方式关闭数据库. 2.shutdown immediate 立即方式关闭数据库. 在SVRMGRL中执行shutdown immediate,数据库并不立即关闭, 而是在Oracle执行某些清除工作后才关闭(终止会话.释放会话资源), 当使用shutdown不能关闭数据库时,shutdown immediate可以完成数据库关闭的操作. 3.shutdown abort 直接关闭数据库,正在访问数据库的会话会被突然终止, 如果数

开源面向对象数据库db4o之旅,第1部分 初识db4o

前言 业界对持久存储领域的追求从未停止过,为了更方便.更容易地用对象表达 我们的思维,开源领域和商业领域都涌现了许多新技术, ORM 的出现恰恰说明 了这点.最近一年,业界也在反思,到底 ORM 给我们带来的是便利还是麻烦. 矛头指向大名鼎鼎的 Hibernate ,纷纷议论其性能问题,大家似乎要达成这样 的共识:"在业务逻辑复杂的地方用 SP ,而一般的 CRUD 还是 Hibernate " ,就连全球知名的 BearingPoint 也有类似看法.下面一个简单的例子,说明了 传统

360安全卫士领航版自动漏洞修复功能怎么关闭

  360安全卫士领航版自动漏洞修复功能怎么关闭 1.打开360安全卫士领航版; 2.选择360安全卫士软件界面右上角的三角按钮,选择:设置(如下图); 3.选择:弹窗设置下的:漏洞修复方式; 4.将默认设置:无需提醒,直接自动修复,改成自己需要的方式,如:关闭安全提醒,不修复!

时间序列数据的存储和计算 - 开源时序数据库解析(一)

开源时序数据库   如图是17年6月在db-engines上时序数据库的排名,我会挑选开源的.分布式的时序数据库做详细的解析.前十的排名中,RRD是一个老牌的单机存储引擎,Graphite底层是Whisper,可以认为是一个优化的更强大的RRD数据库.kdb+.eXtremeDB和Axibase都未开源,不做解析.InfluxDB开源版和Prometheus的底层都是基于levelDB自研的单机的存储引擎,InfluxDB的商业版支持分布式,Prometheus的roadmap上也规划了分布式存

Linux——oracle数据库实例启动关闭(转)

-->Oracle 数据库实例启动关闭过程 --================================       [root@robinson ~]# su - oracle     --查看未启动实例前的进程情况     [oracle@robinson ~]$ ps -aef |grep oracle     root      3332  3300  0 12:20 pts/1    00:00:00 su - oracle     oracle    3333  3332  

Oracle 数据库实例启动关闭过程

--================================ -->Oracle 数据库实例启动关闭过程 --================================ /*     Oracle数据库实例的启动,严格来说应该是实例的启动,数据库仅仅是在实例启动后进行装载.Oracle数据启动的过程被划分为 几个不同的步骤,在不同的启动过程中,我们可以对其实现不同的操作,系统修复等等工作,因此了解Oracle数据启动.关闭是非常 有必要的.下面详细了Oracle Database