UUSEC WAF ถูกตรวจสอบอย่างละเอียด: ชุมชนตั้งคำถามเกี่ยวกับการอ้างว่าเป็นโอเพนซอร์สและประเด็นด้านความปลอดภัย

UUSEC WAF (ไฟร์วอลล์แอปพลิเคชันเว็บ) ที่เพิ่งประกาศเปิดตัวได้สร้างการถกเถียงอย่างมากในชุมชนนักพัฒนา โดยผู้ใช้ได้ยกประเด็นคำถามสำคัญเกี่ยวกับการอนุญาตใช้งาน ความโปร่งใส และผลกระทบด้านความปลอดภัย แม้ว่าผลิตภัณฑ์นี้จะทำการตลาดว่าเป็นไฟร์วอลล์แอปพลิเคชันเว็บที่ฟรีและมีประสิทธิภาพสูงพร้อมความสามารถด้าน AI ขั้นสูง แต่สมาชิกในชุมชนได้ระบุประเด็นที่น่ากังวลหลายประการที่ผู้ใช้ที่สนใจควรรับทราบ

แดชบอร์ด UUSEC WAF แสดงเมตริกสำคัญเกี่ยวกับความปลอดภัยและการจราจรของเว็บไซต์

ปัญหาการบิดเบือนเรื่องใบอนุญาต

หนึ่งในความกังวลหลักที่สมาชิกในชุมชนยกขึ้นมาคือการอธิบายที่ทำให้เข้าใจผิดว่า UUSEC WAF เป็นโอเพนซอร์ส การตรวจสอบใบอนุญาตอย่างละเอียดเผยให้เห็นข้อจำกัดการใช้งานที่สำคัญซึ่งขัดแย้งกับหลักการของโอเพนซอร์ส ดังที่ผู้แสดงความคิดเห็นรายหนึ่งได้ชี้ให้เห็นว่า ใบอนุญาตได้กำหนดข้อจำกัดในการใช้งานและดูเหมือนจะไม่อนุญาตให้แก้ไขหรือเผยแพร่อย่างเปิดเผย ซึ่งทำให้ไม่สามารถถือว่าเป็นโอเพนซอร์สอย่างแท้จริงตามมาตรฐานที่ยอมรับกันอย่างกว้างขวาง

การตรวจสอบเพิ่มเติมบ่งชี้ว่าผลิตภัณฑ์อาจไม่ได้มีคุณสมบัติแม้แต่เป็นซอร์สที่เข้าถึงได้ พบว่าที่เก็บข้อมูลใน GitHub ดูเหมือนจะมีเพียงเอกสารประกอบ สคริปต์ Lua ที่ไม่มีบริบทชัดเจน โมดูล PHP ขนาดเล็ก และไบนารีที่คอมไพล์ไว้แล้ว ฟังก์ชันการทำงานหลักดูเหมือนจะถูกส่งผ่านอิมเมจ Docker ที่โฮสต์บน Huawei Cloud มากกว่าผ่านโค้ดที่โปร่งใสและสามารถตรวจสอบได้

ความกังวลด้านความปลอดภัยและความไว้วางใจ

การพึ่งพาอิมเมจ Docker ที่โฮสต์บน Huawei Cloud ได้สร้างสัญญาณเตือนในหมู่นักพัฒนาที่ใส่ใจเรื่องความปลอดภัย ผู้แสดงความคิดเห็นหลายคนแสดงความระมัดระวังเกี่ยวกับแหล่งที่มาของซอฟต์แวร์ โดยบางคนคาดการณ์เกี่ยวกับผลกระทบด้านความปลอดภัยที่อาจเกิดขึ้น การขาดความโปร่งใสเกี่ยวกับสิ่งที่อยู่ในอิมเมจ Docker ยิ่งเพิ่มความกังวลเหล่านี้

ผมมองว่านี่เป็นสองสิ่งในเวลาเดียวกัน จากความเห็นส่วนตัว: อาจมีช่องโหว่สำหรับ PRC ซ่อนอยู่ที่ไหนสักแห่งในนี้; นี่อาจเป็นซอฟต์แวร์ที่มีคุณภาพสูงมาก

ความคิดเห็นนี้สะท้อนมุมมองที่ขัดแย้งกันที่หลายคนมีต่อผลิตภัณฑ์ - ยอมรับคุณภาพทางเทคนิคที่อาจมีแต่ยังคงระมัดระวังเกี่ยวกับผลกระทบด้านความปลอดภัย

กลยุทธ์การตลาดที่น่าสงสัย

สมาชิกในชุมชนยังได้เน้นย้ำถึงแนวทางการตลาดที่น่ากังวลที่เกี่ยวข้องกับ UUSEC WAF มีรายงานเกี่ยวกับปัญหาโฆษณาที่ถูกเปิดในที่เก็บข้อมูล GitHub ที่ไม่เกี่ยวข้อง ซึ่งได้ทำลายความไว้วางใจในโครงการ นอกจากนี้ ผู้แสดงความคิดเห็นบางคนสังเกตเห็นว่าการตอบสนองบางอย่างในกระทู้สนทนาดูเหมือนจะถูกสร้างโดย AI มากกว่าประสบการณ์ของผู้ใช้จริง ซึ่งยิ่งทำให้ความน่าเชื่อถือลดลง

เมทริกซ์ประสิทธิภาพเปรียบเทียบที่ให้ไว้ในเอกสาร - แสดงให้เห็นว่า UUSEC WAF มีประสิทธิภาพเหนือกว่าคู่แข่งอย่าง ModSecurity และ CloudFlare - ก็ถูกตั้งคำถามเช่นกัน ผู้แสดงความคิดเห็นคนหนึ่งได้ถามเฉพาะเจาะจงเกี่ยวกับวิธีการที่อยู่เบื้องหลังการเปรียบเทียบเหล่านี้ โดยเน้นย้ำถึงการขาดความโปร่งใสในวิธีการดำเนินการเปรียบเทียบเหล่านี้

การเปรียบเทียบประสิทธิภาพ (ตามที่ UUSEC อ้าง)

หมายเหตุ: สมาชิกในชุมชนได้ตั้งคำถามเกี่ยวกับวิธีการที่ใช้ในการทดสอบเปรียบเทียบเหล่านี้

ทางเลือกอื่น

สำหรับผู้ที่กำลังมองหาโซลูชัน WAF แบบโอเพนซอร์สที่แท้จริง สมาชิกในชุมชนได้แนะนำทางเลือกอื่น เช่น Coraza ซึ่งมีให้ใช้งานภายใต้ใบอนุญาต Apache ไม่เหมือนกับ UUSEC WAF, Coraza สามารถฝังเป็นไลบรารี ใช้เป็นปลั๊กอินของ nginx หรือ caddy หรือทำงานแบบสแตนด์อโลน ซึ่งให้ความยืดหยุ่นและความโปร่งใสมากกว่า

ในยุคที่ต้นทุนด้านความปลอดภัยกำลังเพิ่มขึ้น ตามที่ผู้แสดงความคิดเห็นคนหนึ่งกังวลเกี่ยวกับราคาที่เพิ่มขึ้นจากผู้ให้บริการเช่น Akamai และ Cloudfront ความน่าดึงดูดของโซลูชันที่ฟรีและเปิดกว้างอย่างแท้จริงเป็นสิ่งที่เข้าใจได้ อย่างไรก็ตาม การสนทนาในชุมชนทำให้เห็นชัดเจนว่าการตรวจสอบเครื่องมือด้านความปลอดภัยอย่างละเอียดยังคงเป็นสิ่งจำเป็น โดยเฉพาะอย่างยิ่งเมื่อการอ้างว่าเป็นฟรีและโอเพนซอร์สอาจไม่สอดคล้องกับความเป็นจริง

ในขณะที่ UUSEC WAF โฆษณาความสามารถทางเทคนิคที่น่าประทับใจ รวมถึงการเรียนรู้ของเครื่องสำหรับการตรวจจับภัยคุกคามและเครื่องมือวิเคราะห์ความหมาย ข้อกังวลที่ยกขึ้นโดยชุมชนนักพัฒนาแนะนำว่าผู้ใช้ที่สนใจควรเข้าถึงด้วยความระมัดระวังและดำเนินการตรวจสอบอย่างละเอียดก่อนการนำไปใช้

อ้างอิง: UUSEC WAF: An Industry-Leading Free, High-Performance Web Application Firewall