OpenBao – le fork open source de HashiCorp Vault

 (github.com/openbao)
11 points par GN⁺ 2023-12-10 | 2 commentaires | Partager sur WhatsApp
  • Une solution pour gérer, stocker et distribuer des données sensibles, notamment des secrets, des certificats et des clés
  • Prévoit d’être proposé sous une licence open source approuvée par l’OSI, conformément aux principes de gouvernance ouverte

Fonctionnalités principales

  • Stockage sécurisé des secrets : stocke des paires clé/valeur arbitraires. Les données sont chiffrées avant stockage, de sorte qu’un simple accès aux données brutes ne permet pas d’accéder aux secrets. Écriture possible sur disque, dans Consul, etc.
  • Secrets dynamiques : prise en charge de la génération de secrets à la demande pour AWS et les bases SQL. Crée, à la requête, des paires de clés avec des droits valides, puis les révoque automatiquement à l’expiration de la période de location
  • Chiffrement des données : prend en charge le chiffrement et le déchiffrement sans avoir à stocker les données. Les équipes sécurité peuvent définir les paramètres de chiffrement, tandis que les développeurs peuvent stocker des données chiffrées dans des bases SQL, etc., sans avoir à concevoir leur propre méthode de chiffrement
  • Baux et renouvellement : tous les secrets ont une durée de bail. À la fin du bail, le secret est automatiquement révoqué. Le bail peut être renouvelé via l’API de renouvellement intégrée
  • Révocation : la révocation des secrets est prise en charge nativement. Il est possible de révoquer non seulement un secret unique, mais aussi un arbre de secrets entier (par exemple tous les secrets lus par un utilisateur donné, ou tous les secrets d’un type particulier). Prend en charge la rotation des clés et le verrouillage du système en cas d’intrusion

À lire aussi

2 commentaires

 
xguru 2023-12-10

Actualité connexe : Open source forkers stick an OpenBao in the oven

  • En réaction à l’introduction par HashiCorp d’une licence restrictive vis-à-vis de la concurrence pour le logiciel Terraform, un mouvement plus large se développe pour que la Linux Foundation soutienne une alternative open source à Vault, le projet de gestion des secrets de HashiCorp
  • Lors de l’Open Source Summit de Tokyo, Sebastian Stadil (cofondateur et CEO de Scalr, ainsi qu’organisateur du projet OpenTofu, un fork de Terraform) a présenté OpenBao
  • OpenBao est un fork de Vault qui aide les développeurs à gérer les mots de passe, tokens, certificats, clés API, etc.
  • HashiCorp a basculé Vault et d’autres logiciels sous licence Business Source License, ce qui interdit aux sociétés cloud concurrentes de proposer ce logiciel comme produit concurrent. En réaction, des concurrents ont forké le code de Vault sous la licence Mozilla PLv2, conforme à l’OSI
  • Le projet OpenBao est mené par la Linux Foundation, avec des développeurs d’IBM qui le pilotent via LF Edge. Le projet n’a pas encore été officiellement approuvé par IBM, et pour obtenir la reconnaissance de la Linux Foundation, il doit satisfaire à certains critères prouvant sa viabilité
  • À propos du changement de licence de Terraform par HashiCorp, il est mentionné que l’entreprise brûle probablement du cash et qu’avec la hausse des taux d’intérêt, elle chercherait à prendre des mesures pour générer des revenus
  • HashiCorp a déclaré 146,1 millions de dollars de revenus au troisième trimestre 2024, soit une hausse de 17 % sur un an
 
GN⁺ 2023-12-10
Avis Hacker News

  • Actualité récente liée : HashiCorp Vault forké en OpenBAO

    • En décembre 2023, la discussion autour d’OpenBAO publiée sur Hacker News a été animée. Le projet en est encore à ses débuts et n’est pas encore réellement utilisable, mais il y a beaucoup d’occasions de contribuer.
    • Si vous souhaitez contribuer, vous pouvez rejoindre le salon Matrix ou vous inscrire à la mailing list.

  • Avis d’un utilisateur de la version payante de HashiCorp Vault

    • Utilisation de Vault pour l’intégration avec un HSM on-premise et la conformité FIPS. Je ne connais pas de logiciel aussi léger et simple que Vault pour une utilisation avec un HSM. Utilisation de l’auto-unseal de Vault avec stockage des signatures de CA intermédiaire et des shards dans le HSM. OpenBAO ne répond pas à ces exigences.

  • Expression d’attentes autour d’un fork de Nomad

  • Inquiétude face à une “guerre de religion” entre développeurs à propos des outils de gestion des secrets

    • Préoccupation concernant l’instabilité des outils qui gèrent mots de passe et identifiants, allant de la corvée de devoir continuellement mettre à jour les noms dans des fichiers YAML jusqu’à une inquiétude plus grave : celle qu’un développeur malveillant puisse intentionnellement introduire une faille de sécurité. Question posée : existe-t-il une garantie que ce type de problème n’arrivera pas ?

  • Partage de liens liés au développement d’OpenBAO

  • Remerciements pour ce fork open source, tout en exprimant le souhait d’éviter Vault et Consul

    • Sentiment que ces logiciels ont rendu le travail des utilisateurs plus difficile ces dernières années.

  • Mise en avant de l’importance de la sécurité d’OpenBAO et de la confiance des utilisateurs

    • Remarque indiquant que, dans la mention demandant de divulguer de manière responsable les problèmes de sécurité découverts dans Vault, il faudrait remplacer “Vault” par “OpenBAO”.