就在一年前Rapid7脆弱性管理工具的制造商获得了metasploit开源渗透测试项目。与Metasploit一起,Rapid7还雇用了HD Moore Metasploit的驱动力。为了纪念周年纪念日,Rapid 7发布了Metasploit软件的Metasploit Pro版本。昨天,我有机会与HD Moore谈论所有这一切以及更多(没有双关语)。
Metasploit Pro实际上是Metasploit的第二个商业版本,该版本已在Rapid7下发布。首先,Metasploit Express针对的是在其网络上进行笔测试的企业安全技术人员。Pro版本更多地针对专业的笔测试团队,并具有许多高级协作功能。Metasploit Pro具有高级VPN枢纽功能以及社会工程功能的破解功能,每座售价约为15,000,而不是Metasploit Express出售的每个座位3K。Pro产品将其与核心影响和其他一些商业渗透测试工具完全相当。
但是,你们中许多人可能对安全性不感兴趣。就开源而言,Metasploit仍然提供其作为开源工具的框架。它可能没有商业产品的漂亮GUI或抛光剂,但商业产品的核心仍然是开源代码的框架。开源框架以免费的BSD许可发布。这意味着从理论上讲,其他人也可以将其用作其产品的核心。
通过这种方式,摩尔说,Metasploit已成为开放的核心产品。用户可以免费使用开放式框架,但是如果他们想要可以升级的Pro或Express产品的支持和添加功能功能。那里有一条清晰的升级路径。摩尔喜欢这个模型,并认为这对他和Metasploit团队都取得了成功。
自从获得商业支持以来,Moore表示,Metasploit对用户要求的新功能的响应更加敏感。他注意到的一个变化是,随着他团队的付费开发人员的改进,核心代码正在改进和更新。实际上,过去的许多贡献者过去都无法跟上发展的迅速发展。因此,许多社区开发人员没有向核心贡献代码,而是在其他领域投入了宣传。
当然,当一个开源项目获得商业支持时,成功的一项措施就是观察社区是否仍然贡献代码。我不跟随Metasploit社区足够近地告诉您。但是摩尔会表明他们没有。另一方面,他有充分的理由没有。同样,自从收购以来,我在安全社区中的许多朋友除了对Metasploit所说的好话。因此,我倾向于认为社区仍然牢固地背后。如果您是一个元普利人的用户,并且有不同的看法,我很想听听您的来信。随时发表评论。
同时,看起来Metasploit已成功地导航了从纯开源项目到使用开放核心业务模型的商业支持的产品。