技术影响力市场研究公司Forrester评估了Tenable的 Nessus漏洞扫描程序 作为全球领先的漏洞风险管理者。这是2023年第四季度Forrester Wave漏洞风险管理报告的标题。网络安全内部人士的一项调查发现，Nessus是 世界上部署最广泛的应用程序漏洞扫描程序. 它已经安装了超过200万次，目前正在保护全球27,000个企业。它有 超过57.000个常见漏洞和披露（CVE） 在其词典中具有最低的误报率. 掌握了所有这些令人印象深刻的统计数据后，您可能想知道为什么从未听说过Nessus漏洞扫描程序. 关于Nessus漏洞扫描程序 Nessus会同时检查硬件和软件是否存在已知漏洞。它监视正在运行的进程中的异常行为，并且还监视网络流量模式。 Nessus是一种防火墙/防病毒系统，但还不是。尽管它具有补救程序，但是在解决方案部分中，它不像典型的端点保护系统那样全面。. Tenable，Inc于2002年开始运营，但Nessus的年龄要大得多。产品比开发该产品的公司如何老？ Nessus系统由个人Renauld Deraison开发，并于1998年首次发布。当时，Deraison是17岁。他将Nessus设置为开源项目，并在从事职业的同时兼职领导软件的社区开发。白天在IT中. 有争议的是，Deraison成立了Tenable Network Security，以管理Nessus软件的商业可能性。尽管开发项目是社区驱动的，但Deraison拥有该软件的版权。当Nessus 3发布时，该开源项目关闭了，使Nessus作为专有系统完全进入了业务。早期版本仍可在GNU通用公共许可证下获得. Nessus 2的源代码的可用性导致了fork的创建，从而为Nessus系统提供了竞争对手。但是，借助Nessus，Deraison发明了“远程漏洞扫描程序”的概念。它已从世界上唯一的漏洞扫描仪发展为领先的漏洞扫描仪。转向所有权的方式阻止了Nessus被重新标记其自身代码的副本完全挤掉. Tenable对Nessus 2代码的持续存在以及市场上近乎复制品的存在感到放松。在GNU许可制度下，这些副本不能被商业出售，只能被赠与。通过对私有的Nessus开发进行投资，Tenable确保了在免费和付费方面都领先于竞争对手. Nessus 3是对先前版本的重大改进，产生代码分支的业余爱好者没有足够的资源与Tenable竞争. 悠久的历史 Tenable成立于2002年，但直到2005年才推出Nessus的付费版本。在免费的开放源代码产品上添加商业外观并不罕见。许多开源项目都有收费的替代方案. 创建付费版本的免费软件背后的商业逻辑是，大多数开源项目都不会吸引企业用户。企业不在乎软件的价格，这只是一种支出，可以免税。. 企业在考虑购买软件时的关键需求是它应该可靠且受支持。这是在开源软件之上添加商业服务的收费结构的地方. 通过创建作为Nessus的最终所有者的收费服务提供商，Deraison确保了商业社区对Nessus漏洞扫描程序的接受。该软件可能是免费的，但除非得到完全支持，否则企业不会使用它。提供支持包使Nessus具有吸引力. 因此，有一个不错的收入来源正在等待被取走，而没有取消保持Nessus自由的承诺。商业化道路上的下一个合乎逻辑的步骤是投资建立一个全职的开发团队。社区开发人员非常擅长生产供自己使用的软件，但是他们对软件的错误视而不见，并且面对业务用户的请求不愿对其进行大修. 即使软件是免费的，它也很快会成为使用风险，因为黑客发现的漏洞不会通过开发和测试而被关闭。缺乏开发预算会使Deraison无法关闭漏洞利用程序，具有讽刺意味的是，它已成为具有漏洞的漏洞扫描器. Tenable通过提供免费版本来尊重其开源起源的精神。那些在没有专业支持的情况下拥有免费Nessus的人仍然拥有它。准备为质量付费的大型企业现在可以使用. 免费和付费的Nessus Nessus的历史和免费版本的存在解释了该软件为何如此成功却没有太多可见性。它的下载量为200万，主要是由于其使用寿命长和免费版本。看一下数字：200万次下载，但只有27,000个企业使用它. 所有这些免费用户的好处是，该软件已在实际环境中进行了全面测试。这解释了其在准确性方面的很高成功率。因此，免费版本有助于测试系统，并有助于您熟悉。它是网络技术精打细算的学生可以使用的工具。当他们毕业并加入工作队伍时，他们会将对Nessus品牌的熟悉带入雇用他们的公司。由于Tenable不需要营销预算，因此您不会在广告牌上看到Nessus的名称-实习生会告诉您有关信息，下载并为您设置. Nessus漏洞扫描程序的三个版本是： Nessus基础 Nessus专业人士 Tenable.io 阅读以下有关每个选项的更多信息. Nessus基础 Nessus基础 是扫描仪的免费版本。它的扫描运行限制为16个IP地址，该工具针对网络技术的学生。 Tenable网站向系统的新用户提供了培训表。因此，即使您是打算购买付费版本的商业用户，也可以从Essentials开始，以确保在向老板推荐系统之前先了解系统。 Tenable不限制家用Nessus Essentials的分发-可以将其用于企业. 还有一个Nessus用户论坛，您可以在其中从其他用户那里获得提示。 Nessus可以通过插件扩展。其中大多数都是收费的，但是您可以从社区中获得免费的插件。. Nessus专业人士 Nessus专业人士 是漏洞扫描程序的两个付费版本的本地版本。这笔交易可为您提供全面支持，但您使用的软件与免费版本相同，但没有16个IP地址空间上限. 您需要跳至付费版本之一才能获得 PCI合规性检查, 独联体,…

您遇到的几乎每个VPN提供商都会对日志提出某种声明。提供无日志服务通常被视为关键卖点。许多用户将VPN视​​为改善隐私和增加匿名性的一种手段。这是有道理的，他们不只是想从追踪它们的ISP转移到做同样事情的另一家公司. 如果所有VPN都根本不保留任何日志，那将是很好而又简单的，但事实是，许多VPN确实保留了一些记录。这些可能包括访问过的网站的日志（很少见）或使用日志，例如连接到VPN的时间和使用的带宽量。保留日志有多种原因。例如，如果每个用户每月有上限，则可以记录带宽。在某些情况下，会保留日志以支持需要其他数据的业务模型。例如，提供者可能会从经常访问的网站上投放的广告中获利. 对于用户而言，所有这些意味着他们可能无法获得他们所希望的隐私。如果您需要在VPN的隐私权政策中注意一件事，那就是日志记录政策。在选择提供者之前，您需要确切地知道将要记录哪些信息以及它将或将用于什么目的。. 图表中的每个方块代表我们在下面进行调查的VPN提供商. 在本指南中，我们将说明VPN提供商可能保存的各种日志类型以及如何使用它们。我们还将根据五眼和十四眼国家/地区来说明VPN提供商位置的重要性。然后，我们将依次查看每个提供商的日志记录政策，以确切揭示其采用的方法. 小费： 不保存日志的VPN在洪流者中非常流行，但并非所有VPN都可以在其网络中洪流。我们在这里收集了用于种子下载的最佳VPN，并在此处讨论了种子下载的合法性的文章. 注意：请记住，本文将中继我们对日志记录策略的解释，其中一些可能难以理解。如果发现错误，我们很乐意进行编辑。而且，政策可能会随着时间的推移而变化，尽管我们努力定期回顾本文，但实际上我们无法跟踪每一个变化的发生. 日志的类型及其使用方式 VPN日志是提供商保留的有关其服务使用情况的数据。关于他们可以存储的内容，您必须记住您的提供商可以访问您的所有互联网活动。因此，VPN提供商现在可以从技术上访问ISP通常可以看到的所有内容。当然，如果提供商实际记录并存储了所有这些数据，他们将不会提供非常有吸引力的服务，并且无疑会失去很多客户。取而代之的是，缺少日志是许多提供商为了赢得消费者而传播的主要销售功能之一. 基本上，日志越少，服务越有吸引力。这将我们带到了“无日志”，“零日志”或“无日志”的常用声明。当然，您不能仅仅将这些声明视为具有实际价值。许多提供程序声称他们不保留任何日志，但实际上，大多数提供程序保留某种形式的记录。产生歧义是因为它们可能保留许多不同类型的日志。您需要更深入地研究隐私政策和/或服务条款，以查找正在记录的信息（如果有）. 要记住的另一件事是实际存储日志的时间。一些提供程序会在24小时后自动删除数据，而其他提供程序则可能会存储更长的时间（甚至无限期）。当然，从用户角度来看，前者更好. 在进入不同类型的日志之前，需要注意的一件事是，您经常会在提供商自己的网站上在跟踪和Cookie的隐私权政策中找到提及。这与VPN的使用完全分开，是任何在线业务的正常组成部分. 现在，让我们看一下在研究提供商时可能遇到的不同类型的日志. 连接日志 这些可能称为元数据，诊断日志或使用情况日志。它们可能包括时间戳，使用哪个VPN服务器以及消耗的带宽量。有时，此数据与个人帐户相关联，但在其他情况下，则仅汇总汇总. 通常，这些记录用于改善和维护操作。在单个用户的基础上，提供商可能需要跟踪同时连接的数量或每天或每月要传输多少数据。为了使服务最佳化，提供者可能想一次知道有多少人正在使用一台给定的服务器并将负载放在该服务器上，这也很有意义。. 在隐私方面，汇总收集的数据不会构成严重的风险。与单个用户绑定的连接日志有些棘手。它实际上取决于日志的性质以及它们是否链接到任何个人身份信息（PII）。如果日志与用户帐户绑定，则仍然可以。某些提供程序使您可以在不交出任何PII的情况下开设帐户。例如，如果不需要PII，则无法使用个人电子邮件地址创建并通过比特币付款的帐户。. 这里要注意的一件事是PII的定义。一些提供商指出，他们不需要PII，但确实记录了用户的IP地址。它可以在注册时连接到帐户，也可以记录为连接日志的一部分。这将我们带入下一种日志类型. IP地址日志 IP地址日志是许多所谓的“无日志”提供程序遇到麻烦的地方。 IP地址可以很容易地归因于一个人，或者至少是一个wifi路由器，并且实际上应该被视为PII。连接到时间戳的IP地址可能会将实际活动链接到个人。确实，在某些情况下，当我们浏览VPN列表时，就会遇到这种情况. 使用VPN的主要原因之一是隐藏您的IP地址。当该信息被记录和存储时，它可能会暴露给第三方。充其量，它可以通过烦扰广告商努力围绕每个用户建立个人资料来获得。在最坏的情况下，它可能会落入恶意黑客，版权巨魔或政府机构的手中. 交通记录 最后，但也许最重要的是，我们有流量日志。对于VPN，这是最糟糕的日志。它们包括互联网流量的内容，例如浏览历史记录，下载的文件，进行的购买，发送的消息以及使用的软件。确实，没有人甚至应该考虑已经报告过保留此类日志的VPN。首先，它确实击败了拥有VPN的主要目的之一-隐私. 保留这些日志有多种原因，但主要的原因是利润。这就是为什么特别要注意免费VPN服务的重要性。这些提供商必须以某种方式赚钱，并且数据很有价值。有助于在单个用户周围建立个人资料的数据尤其如此，并且可以出售给广告商或其他第三方。在更坏的情况下，黑客或窥探者可能会掌握这些日志，从而使您容易受到攻击。特别是，泄露的个人信息很容易导致身份盗用. 权证金丝雀 在继续进行操作之前，还有一个值得注意的术语是“保修金丝雀”。某些提供商在宣传这些金丝雀，以帮助维护隐私。凭单金丝雀通常是一个网页，通常每月更新一次，其中指出没有向提供者发出秘密的政府传票。默认情况下，如果删除该语句，则表示发出了传票，并以此警告用户. 当然，如果提供程序完全是无日志的，则无论如何都将没有数据要移交。因此，许多拥有真正无日志政策的提供商会认为，凭单金丝雀是没有意义的。另外，它们通常每月仅更新一次，这使它们的用处不大。不过，在这篇文章中，我们会提到与供应商相关的认股权证金丝雀. 五只眼和十四只眼国家 在日志记录策略中值得强调的另一个因素是每个提供者的国家/地区。具体来说，了解您的提供商是位于“五眼”还是“十四眼”国家/地区很有帮助。五眼联盟（FVEY）是UKUSA协议所涉国家之间的一项情报条约或联盟。这些国家是澳大利亚，加拿大，新西兰，英国和美国。根据协议，这些国家彼此共享信号情报. FVEY协议对VPN用户很重要，其含义之一就是使参与国可以绕过其自己的监视法律。不同的国家有不同的法律，可能允许政府监视其他国家的人，但不能监视他们本国的人。国家之间的信息共享意味着政府可以监视彼此的公民和贸易情报. 您可能还听说过14只眼。这是指一组扩展的国家，其中包括另外九个国家：比利时，丹麦，法国，德国，意大利，荷兰，挪威，西班牙和瑞典。这些国家以各种方式参与信号情报共享. 据报道，参与五眼联盟的其他国家是韩国和新加坡。日本与以色列的监视关系也一直是新闻，以色列也是如此. 一些更加注重隐私的用户可能希望避免使用这些国家中任何一个的提供商。您甚至可能希望避免连接到位于这些国家/地区的服务器. VPN政策揭晓 既然我们已经介绍了提供商可能保留的日志类型以及日志的用途，那么您将对查看各种提供商的日志记录策略时要注意的内容有了更好的了解。现在该扎根并确切揭示这些提供商跟踪和存储的内容，以帮助您确定哪个提供商最适合您. 一种 AceVPN（美国） 3/4 基于5眼或14眼? 是，5眼（0分）流量日志： 否（2分）连接日志： 没有IP地址日志： 否（1分） AceVPN的“无日志”声明是否成立？好吧，它的隐私权政策规定：“我们不会监视用户，也不会监视他们的互联网使用情况。如果我们有合理的理由怀疑最终用户参与了犯罪活动，我们保留通知执法机构的权利。“这听起来不错，但由于实际上并没有定义“互联网使用情况”，因此有点模棱两可。 在“常见问题”页面中，它指出“我们不记录期间。没有元数据日志记录，没有流量日志记录，没有带宽使用情况跟踪。”这意味着该提供程序没有流量日志和连接日志。. AirVPN（意大利） 3/4 基于5眼或14眼? 是的，有14眼（0分）流量日志： 否（2分）连接日志： 是的，但它们是汇总的日志IP地址日志： 否（1分） 在AirVPN的“常见问题解答”部分中，针对“您是否保留会话日志或任何其他可用于跟踪身份和网络活动的日志？”的问题，回答为“否，我们不保留此类日志。这样，我们可以得出结论，没有存储流量日志….