English | Deutsch

OpenVAS - Open Vulnerability Assessment System

OpenVAS ist ein vollumfänglicher Schwachstellen-Scanner. Die Fähigkeiten umfassen authentifiziertes und nicht-authentifiziertes Testen, verschiedene high-level und low-level Internet- und Industrie-Protokolle, Performance-Tuning für große Scans sowie eine mächtige interne Programmiersprache mit der man jegliche Art von Schwachstellen-Prüfung implementieren kann.

Dem Scanner steht ein "Feed" mit Schwachstellen-Tests zur Seite der auf eine lange Historie zurückgreifen kann und tägliche Aktualisierungen erhält. Dieser Greenbone Community Feed umfasst mehr als 50.000 Schwachstellen-Prüfungen.

Der Scanner wird von Greenbone Networks seit 2009 verbessert und erweitert. Die Arbeiten werden als Freie Software unter der GNU General Public License (GNU GPL) lizensiert.

Die Firma Greenbone entwickelt OpenVAS als Teil ihrer kommerziellen Produkt-Familie für Schwachstellen-Management "Greenbone Security Manager" (GSM). OpenVAS ist ein Baustein in einer größeren Architektur. In Kombination mit weiteren Open Source Modulen bildet der Scanner das Greenbone Vulnerability Management. Hierauf basierend bieten die GSM Appliances einen für typische Unternehmens-IT erweiterten Feed, zusätzliche Funktionalitäten, Appliance-Management und eine Service-Level-Vereinbarung.

Ausprobieren

Community

Die Geschichte von OpenVAS

2005 haben die Entwickler des Schwachstellen-Scanners "Nessus" entschieden die Arbeit unter Open Source Lizenz einzustellen und zu einem proprietärem Geschäfts-Modell zu wechseln.

Zu diesem Zeitpunkt steuerten die Entwickler von Intevation und DN-Systems (die zwei Unternehmen, die später Greenbone gründen) bereits Entwicklungen mit Fokus auf graphische Benutzerschnittstellen zu Nessus bei. Diese Arbeit wurde primär vom Bundesamt für Sicherheit in der Informationstechnik (BSI) gefördert.

2006 bildeten sich, als Reaktion auf die Abkehr von Nessus vom Open Source Modell, mehrere Ableger. Von diesen Ablegern blieb nur einer am Markt aktiv: OpenVAS, das Open Vulnerability Assessment System. OpenVAS wurde als Projekt von Software in the Public Interest, Inc. registriert um die Domain "openvas.org" zu übernehmen und zu schützen.

In 2006 und 2007 gab es nur wenig Bewegung die über die Bereinigung des Status-Quo hinaus ging. Ende 2008 allerdings gründete sich dann die Firma Greenbone Networks GmbH in Osnabrück um OpenVAS weiterzuentwickeln und voranzutreiben. Im Kern basierte der Business Plan von Greenbone auf drei Eckpfeilern:

  • 1. Weiterentwicklung von einem reinen Schwachstellen-Scanner hin zu einer umfassenden Schwachstellen-Management-Lösung.
  • 2. Erstellung einer schlüsselfertigen Anwendung für Business-Anwender.
  • 3. Beibehaltung des Open-Source Konzepts um die Technologie transparent zu erhalten.

Ebenfalls 2008 wurden zwei weitere Unternehmen aktiv. Secpod aus Indien und Security Space aus Kanada. Beide legten ihren Fokus darauf weitere Schwachstellen-Tests hinzuzufügen und koordinierten sich mit Greenbone, um einen verlässlichen und aktuellen Feed an Schwachstellen-Tests zu erstellen. Im ersten Schritt wurden alle Quelltexte und Schwachstellen-Tests entfernt, deren Lizenz nicht eindeutig oder inkompatibel war. So wurden, um einen sauberen Start zu garantieren, mehrere tausend Schwachstellen-Tests entfernt. Wenig später wuchs der Feed wieder schnell und konstant an.

2009 fügte Greenbone die ersten weiteren Module hinzu, um so eine umfassende Schwachstellen Management Lösung aufzubauen. Die Web-Oberfläche und der zentrale Verwaltungsdienst wurden grundlegend neu entwickelt um generische Protokolle als API zu definieren. Gleichzeitig wurde der OpenVAS Scanner behutsam weiterentwickelt und verlor schnell die Kompatibilität zu seinem Vorgänger. Die gesamte Open Source Arbeit wurde unter der Marke "OpenVAS" geführt. Die ersten "Greenbone Security Manager" Appliance-Produkte kamen dann im Frühjahr 2010 auf den Markt.

Von 2010 bis 2016 wurde das kommerzielle Produkt sowwie auch die Open Source Module systematisch verbessert und erweitert. Das Schwachstellen Management wurde dahingehend ergänzt, täglich aktualisierte Sicherheits-Informationen zu integrieren. Diese wurden mit einer GPL-kompatiblen Lizenz der Öffentlichkeit zur Verfügung gestellt von den deutschen CERTs DFN-CERT sowie von CERT-Bund, einer Abteilung des BSI welches OpenVAS seit Jahren auf unterschiedlichste Weise unterstützt hat.

Im März 2017 erreichte das sogenannte "OpenVAS Framework" seine Version 9. Viele neue Module und zahlreiche Funktionen wurden während dieses Veröffentlichungszyklus hinzugefügt. Einige hunderttausend Zeilen Code wurden geschrieben und es gab beinahe keinen Tag ohne neue Code-Verbesserungen, durch das wachsende Team an Entwicklern.

Das Jahr 2017 war der Anfang einer neuen Ära: Zunächst wurde Greenbone als treibende Kraft hinter OpenVAS nach aussen sichtbar. Eine bessere Zuordnung der Markenbegtriffe wurde dadurch begonnen, dass "OpenVAS Framwork" in "Greenbone Vulnerability Management" (GVM) umbenannt wurde. Der OpenVAS Scanner wurde damit zu einem von mehreren Modulen innerhalb des GVM. GVM-10 ist entsprechend der offizielle Nachfolger von "OpenVAS-9". Dies alles geschah ohne Änderungen an der Lizenzierung, alle Module bleiben der Allgemeinheit als Open Source zugänglich.

Die zweite große Änderung in 2017 betraf den Feed-Service. Abseits der Verwirrung um die Marke integrierten mehrere andere Unternehmen die Technologie samt Feed und gaben es als ihre eigene Arbeit aus. Teilweise wurde angegeben eine kostengünstigere Alternative zum Greenbone-Produkt zu sein. Tatsächlich gab es mit keinem dieser Unternehmen zu irgendeiner Zeit eine geschäftliche Kooperation durch Greenbone. Um bessere Sichtbarkeit, weniger Verwirrung und eine schärfere Abgrenzung zu Mitbewerbern zu gewährleisten, wurde der öffentliche Feed in "Greenbone Community Feed" umbenannt. Die Weiterentwicklung des Feed wurde internalisiert und die Häufigkeit der Publikation wurde von einem Modell mit 2-wöchiger Verzögerung auf ein tägliches Modell ohne Verzögerung umgestellt. In diesem waren jetzt keine Schwachstellen-Tests für Enterprise-Produkte mehr enthalten.

Die dritte Änderung der neuen Ära war der Wechsel hin zu einer modernen Infrastruktur, konkret GitHub, sowie die Einrichtung eines Community Forums. Die vollständige Transformation wurde 2018 abgeschlossen, und es wurde sowohl die Produktivität, als auch die Aktivitäten innerhalb der Community erheblich gesteigert.

2019 wurde die Abgrenzung des eigenen Brandings abgeschlossen. OpenVAS stellt nun, wie ursprünglich eigentlich definiert und gestartet, den eigentlichen Schwachstellen-Scanner dar. Der OpenVAS Scanner ist nun in die Grundstruktur des Greenbone Vulnerability Management (GVM) eingebettet.

Der OpenVAS Scanner, wie er mit GVM-10 veröffentlicht wurde, beinhaltet eine Vielzahl an Leistungsoptimierungen um den Herausforderungen einer steigenden Zahl von Schwachstellen-Tests und zu scannenden Zielnetzwerken von zunehmender Größe und Heterogenität gerecht zu werden.

Kontakt

Community

Technische Fragen, Koordination, Anwendung- und Entwickler-Diskussionen, Fragen und Antworten sowie Bekanntmachungen: Community Forum.

Organisatorisches

Wenn Sie Probleme mit unserer Infrastruktur berichten wollen oder rechtliche Fragen haben, wenden Sie sich an: gse@greenbone.net.

Enterprise Support

Informationen zum professionellen Einsatz finden Sie unter Enterprise Lösung

Security Response Team

Sie haben ein Sichheitsproblem in einem unserer Software-Komponenten, Produkte oder Dienste gefunden? Wir wollen es beheben! Bitte informieren Sie unser Security Response Team via security@greenbone.net.

Weitere Details zum Security Response Team und bisherigen Security Advisories: