Blog Laboratorio Hispasec

Tal y como lo ha anunciado Renaud Deraison, la versión 3 de Nessus seguirá siendo gratuita pero ya no será distribuida bajo GPL. La razón, que la empresa que fundó en el 2002 para comercializar productos derivados de Nessus no termina de ir todo lo bien que esperaba, y culpa de ello se lo achaca a que la competencia se aprovecha de tener acceso al código de Nessus.

Como podeis imaginar se suceden las discusiones en las listas tras el anuncio, ya no sólo por el caso concreto de Nessus, sin duda el scanner de vulnerabilidades open source más reconocido, sino porque se está poniendo en tela de juicio la competitividad, en términos comerciales, de la licencia GPL.

"Fyodor", el creador de la también popularísima herramienta Nmap, ya ha dicho que está feliz con la licencia GPL, y que no planea seguir los pasos de Nessus (léase como eufemismo de que no va a prostituir su forma de pensar por dinero).

En teoría el equipo de Renaud Deraison seguirá dando soporte a la versión 2 de Nessus bajo licencia GPL, pero todo el mundo sospecha que se limitará a parchear los problemas que puedan aparecer, que no evolucionará, y probablemente termine abandonada. Evidentemente si ha tomado esta decisión no se va a hacer competencia él mismo.

Algunas voces reclaman montar un grupo de trabajo alternativo y evolucionar a partir de Nessus 2 de manera independiente al desarrollo oficial.

Dejando al margen el tema GPL (cada cual es libre de desarrollar bajo la licencia que mejor le parezca, para eso es su trabajo), personalmente me parece una mala noticia, al menos a corto y medio plazo, ya que de una manera u otra se van a difuminar esfuerzos y puede que algunos hackers (léase investigadores en seguridad, desarrollo de exploits, plugins, etc) le den la espalda.