Auf der Mailingliste von Nessus, einem (bis dato open source) state-of-the-art vulnerability scanner, wurde gestern angekündigt:
Nessus 3 will be available free of charge, including on the Windows platform, but will not be released under the GPL. (...)
To make things simple :
- Nessus 2 : GPL, will have regular releases containing bug fixes
- Nessus 3 : free of charge, contains major improvements
Der bisherige Source wird also angeblich weitergepflegt, auch die Kompatibilität der Plugins zwischen den Versionen soll weitestgehend erhalten bleiben.
Allgemein spannend ist die Frage nach den Rechten an so einem Produkt, an dem viele Leute mitgearbeitet haben. Die Scan Engine sei bei Nessus 3 ein "complete rewrite"; für den restlichen Code habe man laut Aussage der Entwickler das Einverständnis aller betroffenen Autoren. Die Aussage von Renaud Deraison (Mitarbeiter bei Tenable security, die Firma, die nach eigener Aussage einen Großteil der Entwicklung von Nessus sponsort) läßt die Motivation hinter dem Schritt erahnen:
Virtually nobody has ever contributed anything to improve the scanning _engine_ over the last 6 years. I'm not talking about shoe- horning DB support in nessusd, but really to contribute things which make the scans faster, or Nessus more powerful. (...)
A number of companies are _using_ the source code against us, by selling or renting appliances, thus exploiting a loophole in the GPL. So in that regard, we have been fueling our own competition and we want to put an end to that. Nessus3 contains an improved engine, and we don't want our competition to claim to have improved "their" scanner.
Ob die erste Aussage so stimmt, läßt sich als Außenstehender allerdings nur schwer beurteilen.