最近釋出的 UUSEC WAF(Web 應用防火牆)在開發者社群引發了激烈討論,使用者對其許可證、透明度和安全隱患提出了嚴重質疑。儘管該產品宣傳自己是一款具有高階人工智慧功能的免費、高效能 Web 應用防火牆,但社群成員已經發現了幾個潛在使用者應該瞭解的問題。
 |
|---|
| UUSEC WAF 儀表盤顯示與網站安全和流量相關的關鍵指標 |
許可證誤導問題
社群成員提出的主要擔憂之一是 UUSEC WAF 被誤導性地描述為開源軟體。仔細檢查其許可證後發現,存在與開源原則相矛盾的重大使用限制。正如一位評論者指出的那樣,該許可證對使用設定了限制,並且似乎不提供開放修改或分發的權利,這使其不符合廣泛接受的開源標準。
進一步調查表明,該產品甚至可能不符合原始碼可獲取的標準。GitHub 倉庫似乎主要包含文件、缺乏明確上下文的 Lua 指令碼、一個小型 PHP 模組和一個預編譯的二進位制檔案。核心功能似乎是透過託管在 Huawei Cloud 上的 Docker 映象提供的,而不是透過透明、可審查的程式碼。
安全和信任問題
依賴託管在 Huawei Cloud 上的 Docker 映象引起了注重安全的開發者的警惕。幾位評論者對軟體的來源表示謹慎,有些人推測可能存在潛在的安全隱患。關於 Docker 映象中實際包含內容的不透明性加劇了這些擔憂。
「我個人認為這同時表明兩點:可能在某處存在中國的後門;這可能是非常高質量的軟體」
這種觀點反映了許多人對該產品的矛盾看法 - 承認其潛在的技術質量,同時對安全隱患保持警惕。
可疑的營銷策略
社群成員還強調了與 UUSEC WAF 相關的令人擔憂的營銷做法。有報告稱在無關的 GitHub 倉庫中出現了宣傳廣告問題,這損害了對該專案的信任。此外,一些評論者注意到,討論執行緒中的某些回覆似乎是由人工智慧生成的,而不是真實使用者的體驗,這進一步削弱了其可信度。
文件中提供的比較效能指標 - 顯示 UUSEC WAF 優於 ModSecurity 和 CloudFlare 等競爭對手 - 也受到了質疑。一位評論者特別詢問了這些基準測試背後的方法論,強調了這些比較如何進行的透明度不足。
效能比較(根據 UUSEC 聲稱)
| 指標 | ModSecurity, Level 1 | CloudFlare, Free | UUSEC WAF, Free | UUSEC WAF, Pro |
|---|---|---|---|---|
| 檢測率 | 69.74% | 10.70% | 74.77% | 98.97% |
| 誤報率 | 17.58% | 0.07% | 0.09% | 0.01% |
| 準確率 | 82.20% | 98.40% | 99.42% | 99.95% |
注:社群成員對這些基準測試的方法提出了質疑
替代選擇
對於那些尋求真正開源 WAF 解決方案的人,社群成員建議了諸如 Coraza 這樣的替代方案,它在 Apache 許可下可用。與 UUSEC WAF 不同,Coraza 可以作為庫嵌入,用作 nginx 或 caddy 外掛,或獨立執行,提供更大的靈活性和透明度。
在安全成本上升的時代,正如一位評論者對 Akamai 和 Cloudfront 等提供商價格上漲的擔憂所指出的那樣,真正免費和開放解決方案的吸引力是可以理解的。然而,社群討論明確表明,對安全工具的徹底審查仍然至關重要,特別是當聲稱免費和開源的宣告可能與現實不符時。
雖然 UUSEC WAF 宣傳具有令人印象深刻的技術能力,包括用於威脅檢測的機器學習和語義分析引擎,但開發者社群提出的擔憂表明潛在使用者應謹慎對待,並在實施前進行徹底的盡職調查。