Ivan Ristic (Qualys): «Nous espérons que la communauté open source adaptera IronBee à toutes les solutions existantes»

Retour sur le pare-feu pour applications web IronBee, avec Ivan Ristic, l’instigateur de ce projet open source. IronBee devrait se montrer particulièrement ouvert.

Suite à l’annonce du lancement du nouveau pare-feu open source IronBee, dédié aux applications web (WAF pour Web Application Firewall), nous nous sommes entretenus avec Ivan Ristic, directeur de l’ingénierie chez Qualys et architecte du projet IronBee qui revient en détails pour Silicon.fr sur le développement de son projet.

« J’avais lancé le WAF open source ModSecurity en 2002. En 2009, j’ai toutefois décidé de faire un break. Avec IronBee, je souhaite proposer un nouveau WAF open source, plus ouvert. Pour cela, je me suis appuyé sur l’expérience acquise sur le projet ModSecurity, tout en évitant de refaire certaines erreurs.

IronBee est tout d’abord complètement portable. Il est ainsi indépendant du serveur web (Apache, IIS, etc.) et sera aussi compatible avec les proxies. Nous espérons que la communauté open source l’adaptera à toutes les solutions existantes.

S’il peut être embarqué dans le serveur web, IronBee peut aussi être déployé en tant qu’outil de surveillance réseau. L’ensemble du trafic web est alors dirigé vers des machines pourvues d’IronBee, qui pourront éventuellement être dans le cloud.

Afin de maximiser les contributions externes, nous avons adopté la licence Apache 2, qui permettra de réutiliser le code très largement, y compris au sein de produits commerciaux (ModSecurity était sous licence GPL).

Notre objectif est de construire une vaste communauté autour de ce produit. Le reste suivra naturellement. Aujourd’hui, le projet ne fait que commencer. Nous avons reçu d’ores et déjà beaucoup de propositions de participation. Il nous reste à choisir comment les utiliser au mieux. »