OpenBao – der Open-Source-Fork von HashiCorp Vault

 (github.com/openbao)
11 Punkte von GN⁺ 2023-12-10 | 2 Kommentare | Auf WhatsApp teilen
  • Eine Lösung zum Verwalten/Speichern/Verteilen sensibler Daten, darunter Secrets, Zertifikate und Schlüssel
  • Soll nach den Prinzipien offener Governance unter einer von der OSI genehmigten Open-Source-Lizenz bereitgestellt werden

Hauptfunktionen

  • Sicherer Secret-Speicher: Speichert beliebige Schlüssel/Werte. Vor der Speicherung werden sie verschlüsselt, sodass Secrets nicht allein durch Zugriff auf die Rohdaten zugänglich sind. Kann auf Festplatte, in Consul usw. geschrieben werden
  • Dynamische Secrets: Unterstützt die On-Demand-Erzeugung von Secrets für AWS und SQL-DBs. Bei einer Anfrage wird ein Schlüsselpaar mit gültigen Berechtigungen erstellt und nach Ablauf der Lease-Dauer automatisch widerrufen
  • Datenverschlüsselung: Unterstützt Ver- und Entschlüsselung, ohne Daten speichern zu müssen. Sicherheitsteams können Verschlüsselungsparameter definieren, und Entwickler können verschlüsselte Daten etwa in SQL-DBs speichern, ohne eigene Verschlüsselungsmethoden entwerfen zu müssen
  • Lease und Erneuerung: Alle Secrets haben eine Lease-Dauer. Wenn die Lease endet, wird das Secret automatisch widerrufen. Mit der eingebauten Renewal-API kann die Lease verlängert werden
  • Widerruf: Die Funktion zum Widerrufen von Secrets wird standardmäßig unterstützt. Es lassen sich nicht nur einzelne Secrets widerrufen, sondern auch Secret-Bäume (z. B. alle von einem bestimmten Benutzer gelesenen Secrets oder alle Secrets eines bestimmten Typs). Unterstützt Key-Rolling und das Sperren des Systems im Fall eines Einbruchs

Verwandte Beiträge

2 Kommentare

 
xguru 2023-12-10

Verwandte Nachricht: Open source forkers stick an OpenBao in the oven

  • Als Reaktion auf HashiCorps Einführung einer wettbewerbsbeschränkenden Lizenz für die Terraform-Software wächst innerhalb der Linux Foundation die Bewegung, eine Open-Source-Alternative zu Vault, HashiCorps Projekt für Geheimnisverwaltung, zu unterstützen.
  • Auf dem Open Source Summit in Tokio stellte Sebastian Stadil, Mitgründer und CEO von Scalr sowie Organisator des OpenTofu-Projekts, eines Forks von Terraform, OpenBao vor.
  • OpenBao ist ein Fork von Vault und hilft Entwicklern bei der Verwaltung von Passwörtern, Tokens, Zertifikaten, API-Schlüsseln und Ähnlichem.
  • HashiCorp hat Vault und andere Software auf eine Business Source License umgestellt. Dadurch ist es konkurrierenden Cloud-Unternehmen untersagt, diese Software als Konkurrenzprodukt anzubieten. Als Reaktion darauf haben Wettbewerber den Vault-Code unter der OSI-konformen Mozilla PLv2 geforkt.
  • Das OpenBao-Projekt wird von der Linux Foundation vorangetrieben, wobei IBM-Entwickler es über LF Edge führen. Das Projekt ist von IBM bislang noch nicht offiziell genehmigt, und um von der Linux Foundation anerkannt zu werden, muss es bestimmte Kriterien erfüllen, die seine Nachhaltigkeit belegen.
  • Zu HashiCorps Gründen für die Lizenzänderung bei Terraform wurde angemerkt, dass HashiCorp vermutlich Geld verbrennt und angesichts steigender Zinsen Maßnahmen zur Umsatzgenerierung ergreifen werde.
  • HashiCorp meldete für das dritte Quartal 2024 einen Umsatz von 146,1 Millionen US-Dollar, was einem Anstieg von 17 % gegenüber dem Vorjahr entspricht.
 
GN⁺ 2023-12-10
Hacker-News-Kommentare

  • Aktuelle verwandte Nachricht: HashiCorp Vault wurde zu OpenBAO geforkt

    • Im Dezember 2023 wurde auf Hacker News lebhaft über OpenBAO diskutiert. Es befindet sich noch in einem frühen Stadium und ist noch nicht einsatzbereit, bietet aber viele Möglichkeiten, Beiträge zu leisten.
    • Wer beitragen möchte, kann dem Matrix-Chatraum beitreten oder sich in die Mailingliste eintragen.

  • Meinung eines Nutzers der kostenpflichtigen Version von HashiCorp Vault

    • Wird wegen der Integration mit On-Premises-HSMs und zur Einhaltung von FIPS verwendet. Dem Nutzer ist keine Software bekannt, die zusammen mit HSMs so leichtgewichtig und einfach einsetzbar ist wie Vault. Verwendet werden die Speicherung der Signatur einer Intermediate-CA sowie das automatische Unsealing von Vault durch die Ablage von Shards im HSM. OpenBAO erfüllt diese Anforderungen nicht.

  • Ausdruck von Vorfreude auf einen Nomad-Fork

  • Sorge über einen "Glaubenskrieg" unter Entwicklern bei Secret-Management-Tools

    • Besorgnis über die Instabilität von Tools zur Verwaltung von Passwörtern und Zugangsdaten. Das reicht vom lästigen ständigen Aktualisieren von Namen in YAML-Dateien bis hin zur weitergehenden Sorge, dass ein böswilliger Entwickler absichtlich Sicherheitslücken einbauen könnte. Es wird gefragt, ob es irgendeine Garantie gibt, dass so etwas nicht passiert.

  • Bereitstellung von Links zur OpenBAO-Entwicklung

  • Dank für den Open-Source-Fork und zugleich der Wunsch, Vault und Consul künftig zu meiden

    • Es besteht der Eindruck, dass diese Software den Nutzern in den letzten Jahren die Arbeit schwerer gemacht hat.

  • Betonung der Bedeutung von OpenBAO-Sicherheit und Nutzervertrauen

    • Der Hinweistext mit der Bitte, in Vault gefundene Sicherheitsprobleme verantwortungsvoll offenzulegen, sollte laut Anmerkung von "Vault" auf "OpenBAO" geändert werden.