La settimana scorsa, la ribellione contro HashiCorp a seguito dell’adozione di una licenza limitante la concorrenza per il suo software Terraform si è intensificata. Durante il Summit Open Source a Tokyo, in Giappone, è emersa la notizia che la Linux Foundation intende supportare lo sviluppo di un’alternativa open source a Vault, il progetto di gestione segreta dell’azienda.
Sebastian Stadil, co-fondatore e CEO di Scalr e uno degli organizzatori di OpenTofu, un fork di Terraform, ha rivelato dettagli sul progetto denominato OpenBao. OpenBao è un fork di Vault, un software che aiuta gli sviluppatori a gestire segreti come password, token, certificati, chiavi API e simili.
OpenBao esiste per fornire una soluzione software per gestire, memorizzare e distribuire dati sensibili, inclusi segreti, certificati e chiavi. La comunità di OpenBao intende fornire questo software sotto una licenza open-source approvata dall’OSI, guidata da una comunità che opera secondo i principi di governance aperta.
Un sistema moderno richiede l’accesso a molteplici segreti: credenziali del database, chiavi API per servizi esterni, credenziali per la comunicazione in un’architettura orientata ai servizi, ecc. Capire chi accede a quali segreti è già molto difficile e specifico per la piattaforma. Aggiungere la rotazione delle chiavi, la memorizzazione sicura e log di audit dettagliati è quasi impossibile senza una soluzione personalizzata. È qui che interviene OpenBao.
Le caratteristiche principali di OpenBao sono:
- Memorizzazione Sicura dei Segreti: Chiavi/valori segreti arbitrari possono essere memorizzati in OpenBao. OpenBao cripta questi segreti prima di scriverli nella memoria persistente, quindi l’accesso alla memoria grezza non è sufficiente per accedere ai tuoi segreti. OpenBao può scrivere su disco, Consul e altro.
- Segreti Dinamici: OpenBao può generare segreti su richiesta per alcuni sistemi, come AWS o database SQL. Ad esempio, quando un’applicazione deve accedere a un bucket S3, chiede a OpenBao le credenziali, e OpenBao genererà una coppia di chiavi AWS con permessi validi su richiesta. Dopo aver creato questi segreti dinamici, OpenBao li revoca automaticamente al termine del periodo di locazione.
- Crittografia dei Dati: OpenBao può criptare e decriptare dati senza memorizzarli. Ciò consente ai team di sicurezza di definire i parametri di crittografia e agli sviluppatori di memorizzare dati criptati in una posizione come un database SQL senza dover progettare i propri metodi di crittografia.
- Locazione e Rinnovo: Tutti i segreti in OpenBao hanno una locazione associata. Al termine della locazione, OpenBao revoca automaticamente quel segreto. I clienti possono rinnovare le locazioni tramite API di rinnovo integrate.
- Revoca: OpenBao ha un supporto integrato per la revoca dei segreti. OpenBao può revocare non solo singoli segreti, ma anche un albero di segreti, ad esempio, tutti i segreti letti da un utente specifico o tutti i segreti di un particolare tipo. La revoca assiste nella rotazione delle chiavi e nel bloccare i sistemi in caso di intrusione.
Vault, insieme ad altri prodotti di HashiCorp come Boundary, Consul, Nomad, Packer, Terraform, Vagrant e Waypoint, è stato posto sotto la Business Source License, che impedisce ad altre aziende cloud di offrire il software come prodotto competitivo. Di conseguenza, i rivali hanno creato un fork del codice Vault sotto una licenza conforme OSI, Mozilla PLv2, per garantire un accesso continuo alla tecnologia.
Stadil, durante la conferenza, ha affermato: “Se ci sono due progetti identici e uno è open source e l’altro no, personalmente credo che la scelta morale sia quella di utilizzare il progetto open source e aiutarlo in qualche modo”.
Stadil ha spiegato a The Register che è prevista a breve la release candidate di OpenTofu e che OpenBao inizierà ad accettare nuovi contributi. OpenBao è in fase di incubazione presso la Linux Foundation, guidato da sviluppatori IBM attraverso LF Edge, un’iniziativa di edge computing. Il progetto non è ancora ufficialmente approvato da IBM, ma prima di essere considerato “completato” dalla Linux Foundation, deve soddisfare certi criteri per dimostrare la sua probabile durata nel tempo.
Durante la presentazione di Stadil, sono state espresse preoccupazioni sulla vitalità e longevità dei progetti OpenTofu e OpenBao, considerati ancora recenti. Stadil ha rifiutato di parlare a nome di altre aziende, ma ha consigliato di visitare i repository dei progetti per notare chi contribuisce ai due progetti come indicatore del supporto aziendale.
Interrogato su quale fosse la ragione di HashiCorp nel rilicenziare il suo software, Stadil ha affermato che la linea ufficiale è che Terraform è vitale per internet e c’è da tempo il desiderio di averlo sotto la supervisione della Linux Foundation.
Stadil ha concluso dicendo: “Se HashiCorp in futuro volesse unirsi a noi in OpenTofu, saremmo entusiasti di vedere ciò accadere”. Non ha voluto speculare sul processo decisionale interno di HashiCorp.
HashiCorp, secondo Stadil, stava bruciando denaro e, con l’aumento dei tassi di interesse, non sarebbe sorprendente vedere l’azienda software adottare misure per generare maggiori entrate. HashiCorp non ha risposto immediatamente a una richiesta di commento.
Giovedì, l’azienda software ha riportato ricavi per 146,1 milioni di dollari per il suo terzo trimestre fiscale del 2024, con un aumento del 17 percento su base annua. Ciò ha comportato una perdita netta GAAP di 39,5 milioni di dollari, in calo dai 72 milioni dello stesso periodo dell’anno precedente.
