最近発表された UUSEC WAF(ウェブアプリケーションファイアウォール)は、開発者コミュニティ内で大きな議論を巻き起こしており、ユーザーはそのライセンス、透明性、およびセキュリティへの影響について重大な疑問を提起しています。この製品は高性能で高度なAI機能を備えた無料のウェブアプリケーションファイアウォールとして市場に出ていますが、コミュニティメンバーは潜在的なユーザーが認識すべきいくつかの懸念点を特定しました。
 |
|---|
| ウェブサイトのセキュリティとトラフィックに関する重要な指標を表示する UUSEC WAF ダッシュボード |
ライセンス誤表示の問題
コミュニティメンバーによって提起された主な懸念の一つは、UUSEC WAF をオープンソースとして誤解を招く特徴付けをしていることです。ライセンスを注意深く調査すると、オープンソースの原則に矛盾する重大な使用制限が明らかになります。あるコメンターが指摘したように、ライセンスは使用に制限を設け、広く受け入れられている基準によってオープンソースとみなされるための、オープンな修正や配布を提供していないようです。
さらなる調査によると、この製品はソースアベイラブルとさえ言えない可能性があります。GitHub リポジトリには主にドキュメント、明確なコンテキストのない Lua スクリプト、小さな PHP モジュール、およびプリコンパイルされたバイナリが含まれているようです。コア機能は透明で検証可能なコードではなく、Huawei Cloud でホストされている Docker イメージを通じて提供されているようです。
セキュリティと信頼の懸念
Huawei Cloud でホストされている Docker イメージへの依存は、セキュリティを意識する開発者の間で警戒感を高めています。複数のコメンターがソフトウェアの出所について慎重な姿勢を示し、一部はセキュリティへの潜在的な影響について推測しています。Docker イメージに実際に何が含まれているかについての透明性の欠如がこれらの懸念を増幅させています。
「個人的な意見として、これは同時に二つのことを意味します:おそらく中国政府のバックドアがどこかにある;おそらく非常に高品質なソフトウェアである」
この意見は、多くの人が製品について持つ矛盾した見方を表しています - 潜在的な技術的品質を認めつつも、セキュリティへの影響に警戒しています。
疑わしいマーケティング戦術
コミュニティメンバーはまた、UUSEC WAF に関連する懸念すべきマーケティング慣行を強調しています。関連のない GitHub リポジトリに宣伝広告の問題が開かれているという報告があり、これがプロジェクトへの信頼を損なっています。さらに、一部のコメンターは、ディスカッションスレッドの特定の返答が実際のユーザー体験ではなく AI によって生成されているように見えると指摘し、さらに信頼性を損なっています。
ドキュメントに記載されている比較パフォーマンスメトリクス - UUSEC WAF が ModSecurity や CloudFlare などの競合他社を上回っていることを示す - も疑問視されています。あるコメンターは、これらのベンチマークの背後にある方法論について具体的に質問し、これらの比較がどのように行われたかについての透明性の欠如を強調しています。
性能比較( UUSEC による主張)
| 指標 | ModSecurity, Level 1 | CloudFlare, Free | UUSEC WAF, Free | UUSEC WAF, Pro |
|---|---|---|---|---|
| 検出率 | 69.74% | 10.70% | 74.77% | 98.97% |
| 誤検知率 | 17.58% | 0.07% | 0.09% | 0.01% |
| 精度 | 82.20% | 98.40% | 99.42% | 99.95% |
注:コミュニティメンバーはこれらのベンチマークの背後にある方法論に疑問を呈しています
代替オプション
真のオープンソース WAF ソリューションを求めている人々のために、コミュニティメンバーは Apache ライセンスの下で利用可能な Coraza などの代替案を提案しています。UUSEC WAF とは異なり、Coraza はライブラリとして組み込んだり、nginx や caddy のプラグインとして使用したり、スタンドアロンで実行したりすることができ、より大きな柔軟性と透明性を提供しています。
Akamai や Cloudfront などのプロバイダーからの価格上昇について懸念を示すあるコメンターが指摘したように、セキュリティコストが上昇している時代において、真に無料でオープンなソリューションの魅力は理解できます。しかし、コミュニティディスカッションから明らかなように、無料でオープンソースであるという主張が現実と一致しない可能性がある場合、セキュリティツールの徹底的な審査は不可欠です。
UUSEC WAF は脅威検出のための機械学習や意味解析エンジンなど、印象的な技術的能力を宣伝していますが、開発者コミュニティによって提起された懸念は、潜在的なユーザーが実装前に慎重にアプローチし、徹底的なデューデリジェンスを実施すべきことを示唆しています。