OpenBao – un fork de código abierto de HashiCorp Vault

 (github.com/openbao)
11 puntos por GN⁺ 2023-12-10 | 2 comentarios | Compartir por WhatsApp
  • Una solución para gestionar, almacenar y distribuir datos sensibles, incluidos secretos, certificados y claves
  • Planea ofrecerse bajo una licencia de código abierto aprobada por la OSI, siguiendo principios de gobernanza abierta

Funciones principales

  • Almacén seguro de secretos: almacena pares clave/valor arbitrarios. Como se cifran antes de guardarse, no es posible acceder a los secretos solo con permisos de acceso a los datos en bruto. Puede escribirse en disco y en Consul, entre otros
  • Secretos dinámicos: admite la generación on-demand de secretos para AWS y bases de datos SQL. Genera pares de claves con permisos válidos al momento de la solicitud y los revoca automáticamente cuando expira el período de arrendamiento
  • Cifrado de datos: permite cifrar y descifrar sin almacenar los datos. Los equipos de seguridad pueden definir los parámetros de cifrado, y los desarrolladores pueden guardar datos cifrados en bases de datos SQL, entre otras, sin necesidad de diseñar su propio método de cifrado
  • Arrendamiento y renovación: todos los secretos tienen un período de arrendamiento. Cuando este termina, el secreto se revoca automáticamente. El arrendamiento puede renovarse con la API de renovación integrada
  • Revocación: admite de forma nativa la revocación de secretos. Puede revocar no solo un secreto individual, sino también árboles de secretos (por ejemplo, todos los secretos leídos por un usuario específico o todos los secretos de un tipo determinado). Admite rotación de claves y bloqueo del sistema en caso de intrusión

Lecturas relacionadas

2 comentarios

 
xguru 2023-12-10

Noticia relacionada: Open source forkers stick an OpenBao in the oven

  • Como reacción a que HashiCorp introdujo una licencia con restricciones a la competencia para el software Terraform, ha crecido el impulso dentro de la Linux Foundation para respaldar una alternativa de código abierto a Vault, el proyecto de gestión de secretos de HashiCorp
  • En el Open Source Summit de Tokio, Sebastian Stadil (cofundador y CEO de Scalr, y organizador del proyecto OpenTofu, un fork de Terraform) presentó OpenBao
  • OpenBao es un fork de Vault que ayuda a los desarrolladores a gestionar contraseñas, tokens, certificados, claves de API y más
  • HashiCorp cambió Vault y otros programas a una Business Source License, lo que impide que empresas de nube competidoras ofrezcan este software como producto rival. En respuesta, los competidores hicieron un fork del código de Vault bajo la licencia Mozilla PLv2, compatible con la OSI
  • El proyecto OpenBao está siendo impulsado por la Linux Foundation, y desarrolladores de IBM lo están liderando a través de LF Edge. El proyecto aún no ha sido aprobado oficialmente por IBM y, para obtener el reconocimiento de la Linux Foundation, debe cumplir ciertos criterios que demuestren su sostenibilidad
  • Sobre la razón del cambio de licencia de Terraform por parte de HashiCorp, se mencionó que probablemente HashiCorp está consumiendo efectivo y, a medida que suben las tasas de interés, tomará medidas para generar ingresos
  • HashiCorp reportó ingresos de 146.1 millones de dólares en el tercer trimestre de 2024, un aumento interanual del 17%
 
GN⁺ 2023-12-10
Opiniones de Hacker News

  • Noticias recientes relacionadas: HashiCorp Vault fue bifurcado como OpenBAO

    • En diciembre de 2023, hubo una discusión activa en Hacker News sobre OpenBAO. Aún está en una etapa temprana y no se encuentra en un estado utilizable, pero hay muchas oportunidades para contribuir.
    • Si quieres contribuir, puedes unirte a la sala de chat de Matrix o suscribirte a la lista de correo.

  • Opinión de un usuario de la versión paga de HashiCorp Vault

    • Usa Vault para la integración con HSM on-premises y para cumplir con FIPS. No conoce otro software tan ligero y sencillo como Vault para usar junto con un HSM. Está usando el auto-unseal de Vault para almacenar firmas de CA intermedia y guardar shards en el HSM. OpenBAO no cumple con estos requisitos.

  • Expresa expectativas por una bifurcación de Nomad

  • Preocupación por una “guerra santa” entre desarrolladores sobre herramientas de gestión de secretos

    • Hay preocupación por la inestabilidad de las herramientas que gestionan contraseñas y credenciales. Va desde la molestia de tener que actualizar continuamente nombres dentro de archivos YAML, hasta un nivel más alto de preocupación por la posibilidad de que un desarrollador malicioso agregue vulnerabilidades de seguridad de forma intencional. Pregunta si existe alguna garantía de que estos problemas no ocurran.

  • Se comparten enlaces relacionados con el desarrollo de OpenBAO

  • Agradece la bifurcación open source y expresa su intención de evitar usar Vault y Consul

    • Siente que este software les ha dificultado más el trabajo a los usuarios en los últimos años.

  • Se enfatiza la importancia de la seguridad de OpenBAO y de la confianza de los usuarios

    • Señalan que en el texto guía que pide divulgar responsablemente los problemas de seguridad encontrados en Vault, se debería cambiar “Vault” por “OpenBAO”.