GN⁺: OpenBao – HashiCorp Vault의 오픈소스 포크
(github.com/openbao)- 시크릿, 인증서, 키를 포함한 민감한 데이터를 관리/저장/배포하는 솔루션
- 개방형 거버넌스 원칙에 따라 OSI가 승인한 오픈소스 라이선스에 따라 제공할 계획
주요 기능
- 안전한 시크릿 저장소: 임의의 키/밸류를 저장. 저장전에 암호화하므로 원시데이터 접근 권한만으로는 시크릿 접근 불가. 디스크 및 Consul 등에 쓰기 가능
- 동적 시크릿: AWS 및 SQL DB를 위한 온디맨드 시크릿 생성 지원. 요청시에 유효한 권한이 있는 키쌍을 생성하고 임대 기간이 만료되면 자동으로 해지
- 데이터 암호화: 데이터를 저장하지 않고도 암호화 및 복호화 지원. 보안팀은 암호화 매개변수를 정의 가능하며, 개발자는 자체 암호화 방법을 설계할 필요없이 SQL DB 등에 암호화된 데이터를 저장 가능
- 임대 및 갱신: 모든 시크릿에는 임대 기간이 있음. 임대가 종료되면 자동으로 시크릿을 해지. 내장된 갱신 API로 임대 갱신 가능
- 해지: 시크릿 해지 기능을 기본적으로 지원. 단일 시크릿 뿐만 아니라 시크릿 트리(특정 사용자가 읽은 모든 시크릿 또는 특정 유형의 모든 시크릿등)도 해지 가능. 키 롤링 및 침입시 시스템 잠금을 지원
관련된 뉴스 Open source forkers stick an OpenBao in the oven
- HashiCorp가 Terraform 소프트웨어에 대한 경쟁 제한 라이센스를 도입한 것에 대한 반발로, Linux Foundation이 HashiCorp의 비밀 관리 프로젝트인 Vault에 대한 오픈 소스 대안을 지원하려는 움직임이 확대됨
- Tokyo의 Open Source Summit에서 Sebastian Stadil(Scalr의 공동 창립자 겸 CEO 이자 Terraform의 포크인 OpenTofu 프로젝트의 오거나이저)이 OpenBao 에 대해 발표함
- OpenBao는 Vault의 포크로, 개발자들이 비밀번호, 토큰, 인증서, API 키 등을 관리하는 데 도움을 줌
- HashiCorp는 Vault 및 다른 소프트웨어들을 비즈니스 소스 라이센스로 전환했으며, 이로 인해 경쟁 클라우드 회사들은 이 소프트웨어를 경쟁 제품으로 제공하는 것이 금지됨. 이에 대한 반응으로 경쟁업체들은 Vault 코드를 Mozilla PLv2라는 OSI-준수 라이센스로 포크함
- OpenBao 프로젝트는 Linux Foundation에 의해 주도되고 있으며, IBM 개발자들이 LF Edge를 통해 이를 이끌고 있음. 이 프로젝트는 아직 IBM에 의해 공식적으로 승인되지 않았으며, Linux Foundation의 인정을 받기 위해서는 지속 가능성을 입증하는 특정 기준을 충족해야 함
- HashiCorp가 Terraform의 라이선스를 변경한 이유에 대해 아마도 HashiCorp가 현금을 소모하고 있으며, 이자율이 상승함에 따라 수익을 창출하기 위한 조치를 취할 것이라고 언급함
- HashiCorp는 2024년 제3분기에 1억 4610만 달러의 수익을 보고했으며, 이는 전년 대비 17% 증가한 수치임
Hacker News 의견
-
최근 관련 소식: HashiCorp Vault가 OpenBAO로 포크됨
- 2023년 12월, 해커뉴스에 게시된 OpenBAO에 대한 논의가 활발함. 아직 초기 단계이며 사용 가능한 상태는 아니지만, 기여할 기회가 많음.
- 기여를 원한다면 Matrix 채팅방에 참여하거나 메일링 리스트에 가입할 수 있음.
-
HashiCorp Vault 유료 버전 사용자 의견
- 온프레미스 HSM과의 연동 및 FIPS 준수를 위해 Vault 사용 중. HSM과 함께 사용하기에 Vault만큼 가볍고 쉬운 소프트웨어를 모름. 중간 CA 서명 저장 및 HSM에 샤드 저장을 통한 Vault 자동 언실링 사용 중. OpenBAO는 이러한 요구사항을 충족시키지 못함.
-
Nomad 포크에 대한 기대감 표현
-
비밀 관리 도구에 대한 개발자 간 '성전' 우려
- 비밀번호 및 자격증명을 관리하는 도구의 불안정성에 대한 우려. YAML 파일 내 이름을 지속적으로 업데이트하는 번거로움부터, 악의적인 개발자가 보안 취약점을 의도적으로 추가할 수 있다는 높은 수준의 걱정까지 있음. 이러한 문제가 발생하지 않을 것이라는 보장이 있는지 질문.
-
OpenBAO 개발 관련 링크 제공
-
Open Source 포크에 대한 감사와 함께 Vault 및 Consul 사용에 대한 회피 의사 표현
- 이러한 소프트웨어가 최근 몇 년간 사용자의 일을 더 어렵게 만들었다고 느낌.
-
OpenBAO 보안 및 사용자 신뢰 중요성 강조
- Vault에서 발견된 보안 문제를 책임감 있게 공개하도록 요청하는 안내 문구에서 'Vault'를 'OpenBAO'로 변경해야 한다는 지적.