MÜNCHEN (COMPUTERWOCHE) - Tenable Network Security, Sponsor des populären quelloffenen Vulnerability-Scanners "Nessus", will das Produkt im kommenden Monat im Rahmen eines größeren Upgrades kommerzialisieren. Nessus 3.0 wird nach Angaben von Tenable-CEO Ron Gula seine Scans fünf Mal so schnell erledigen wie die aktuelle Version 2.0. Es soll wie sein Vorgänger zwar kostenlos sein, allerdings müssen Endnutzer eine kommerzielle Lizenz beantragen, während Nessus bislang unter GPL stand.

Tenable will zukünftig auch eine Reihe Nessus-Appliances anbieten. Den Schritt weg von Open Source begründet der Anbieter damit, dass viele Anwender deren Einsatz aus Angst vor fehlendem Support grundsätzlich ablehnten. "Wir wollen Nessus für ein größeres Publikum anbieten, und deswegen wird Version 3.0 Closed Source", erklärte Gula. "Wenn es nicht Open Source ist, können es viele Behörden und Unternehmen einsetzen, die das bislang nicht getan hätten."

Tenable schätzt, dass Nessus derzeit bei etwa 80.000 Organisationen im Einsatz ist. Die Firma, Anbieter der Management-Konsole "Lighting", erhält von Open-Source-Nutzern Gebühren, die willens sind, für neue Threat-Definitionen sofort bei Erscheinen zu zahlen (nach einer Woche sind sie kostenlos zu haben). Nessus kommt außerdem als Scanner in verschiedenen Netzsicherheits-Tools zum Einsatz, etwa im Security-Event-Management-Werkzeug "ArcSight". Tenable erfasst solche OEM-Nutzung derzeit nicht und hat auch noch keine OEM-Strategie für Nessus 3.0.

Gula erklärte, seine Firma werde Nessus 2.0 als Open Source veröffentlichen und weiter pflegen. In Großbritannien hat sich bereits die Gruppe GnessUS gebildet, die Nessus auf Basis der 2.0-Quellen weiterentwickeln will, weil sie das Ende des Tools als Open Source befürchtet. Interessierte Entwickler sind herzlich eingeladen, bei der Entwicklung "neuer Funktionalität und Plug-ins" behilflich zu sein.

Eric Maiwald, Analyst bei der Burton Group, erklärte, kommerzielle Scanner enthielten üblicherweise mehr Funktionalität als Nessus, das zwar ein effektiver Scanner sei, aber keine Management-Funktionen wie Workflow, Priorisierung oder Remediation mitbringe.