OpenBao – o fork open source do HashiCorp Vault

 (github.com/openbao)
11 pontos por GN⁺ 2023-12-10 | 2 comentários | Compartilhar no WhatsApp
  • Solução para gerenciar/armazenar/distribuir dados sensíveis, incluindo segredos, certificados e chaves
  • Planejado para ser disponibilizado sob uma licença open source aprovada pela OSI, seguindo princípios de governança aberta

Principais recursos

  • Armazenamento seguro de segredos: armazena pares chave/valor arbitrários. Como os dados são criptografados antes do armazenamento, não é possível acessar os segredos apenas com permissão de acesso aos dados brutos. Pode gravar em disco, Consul etc.
  • Segredos dinâmicos: oferece suporte à geração sob demanda de segredos para AWS e bancos de dados SQL. Gera pares de chaves com permissões válidas no momento da solicitação e os revoga automaticamente quando o período de concessão expira
  • Criptografia de dados: oferece suporte a criptografia e descriptografia sem armazenar os dados. A equipe de segurança pode definir os parâmetros de criptografia, e os desenvolvedores podem armazenar dados criptografados em bancos de dados SQL etc. sem precisar projetar seu próprio método de criptografia
  • Concessão e renovação: todos os segredos têm um período de concessão. Quando a concessão termina, o segredo é revogado automaticamente. É possível renovar a concessão com a API de renovação integrada
  • Revogação: oferece suporte nativo à revogação de segredos. É possível revogar não apenas um único segredo, mas também uma árvore de segredos (como todos os segredos lidos por um usuário específico ou todos os segredos de um determinado tipo). Oferece suporte a rotação de chaves e bloqueio do sistema em caso de invasão

Leituras relacionadas

2 comentários

 
xguru 2023-12-10

Notícia relacionada Open source forkers stick an OpenBao in the oven

  • Em reação à adoção, pela HashiCorp, de uma licença com restrições à concorrência para o software Terraform, cresce o movimento da Linux Foundation para apoiar uma alternativa de código aberto ao Vault, projeto de gerenciamento de segredos da HashiCorp
  • No Open Source Summit de Tóquio, Sebastian Stadil (cofundador e CEO da Scalr e organizador do projeto OpenTofu, um fork do Terraform) apresentou o OpenBao
  • OpenBao é um fork do Vault que ajuda desenvolvedores a gerenciar senhas, tokens, certificados, chaves de API e mais
  • A HashiCorp mudou o Vault e outros softwares para a Business Source License, o que impede empresas concorrentes de nuvem de oferecer esse software como produto concorrente. Em resposta, concorrentes fizeram um fork do código do Vault sob a licença Mozilla PLv2, compatível com a OSI
  • O projeto OpenBao está sendo conduzido pela Linux Foundation, com desenvolvedores da IBM liderando o trabalho via LF Edge. O projeto ainda não foi oficialmente aprovado pela IBM e, para obter reconhecimento da Linux Foundation, precisa atender a critérios específicos que comprovem sua sustentabilidade
  • Sobre a razão da mudança de licença do Terraform pela HashiCorp, foi mencionado que provavelmente a empresa está queimando caixa e, com a alta dos juros, tomará medidas para gerar receita
  • A HashiCorp reportou receita de US$ 146,1 milhões no terceiro trimestre de 2024, um aumento de 17% em relação ao ano anterior
 
GN⁺ 2023-12-10
Comentários do Hacker News

  • Notícias recentes relacionadas: HashiCorp Vault sofreu um fork para OpenBAO

    • Em dezembro de 2023, houve bastante discussão no Hacker News sobre o OpenBAO. Ainda está em estágio inicial e não está pronto para uso, mas há muitas oportunidades para contribuir.
    • Se quiser contribuir, é possível participar da sala de chat no Matrix ou entrar na lista de discussão.

  • Opinião de um usuário da versão paga do HashiCorp Vault

    • Usa o Vault para integração com HSM on-premises e conformidade com FIPS. Não conhece outro software tão leve e fácil quanto o Vault para usar junto com HSM. Usa auto-unsealing do Vault com armazenamento da assinatura da CA intermediária e shards no HSM. O OpenBAO não atende a esses requisitos.

  • Expressão de expectativa por um fork do Nomad

  • Preocupação com uma 'guerra santa' entre desenvolvedores sobre ferramentas de gerenciamento de segredos

    • Há preocupação com a instabilidade de ferramentas que gerenciam senhas e credenciais. Isso vai desde o incômodo de ficar atualizando nomes em arquivos YAML até uma preocupação mais séria de que um desenvolvedor mal-intencionado possa adicionar vulnerabilidades de segurança de propósito. Pergunta-se se existe alguma garantia de que esses problemas não acontecerão.

  • Fornecimento de links relacionados ao desenvolvimento do OpenBAO

  • Agradecimento pelo fork open source e manifestação de intenção de evitar usar Vault e Consul

    • Há a sensação de que esse software tornou o trabalho dos usuários mais difícil nos últimos anos.

  • Ênfase na importância da segurança e da confiança dos usuários no OpenBAO

    • Observação de que, no texto orientando a divulgar de forma responsável problemas de segurança encontrados no Vault, "Vault" deveria ser trocado por "OpenBAO".