Ho controllato il lato legale delle cose - che in sostanza spiega perché non ho trovato nulla di utile. In breve: non puoi utilizzare Benchmark CIS e chiamarli Benchmark CIS senza essere un membro.
Citando i "Termini d'uso" di uno dei PDF forniti gratuitamente:
Terms of Use
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International Public License. The link to the license terms can be found at https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode
To further clarify the Creative Commons license related to CIS Benchmark content, you are authorized to copy and redistribute the content for use by you, within your organization and outside your organization for non-commercial purposes only, provided that (i) appropriate credit is given to CIS, (ii) a link to the license is provided. Additionally, if you remix, transform or build upon the CIS Benchmark(s), you may only distribute the modified materials if they are subject to the same license terms as the original Benchmark license and your derivative will no longer be a CIS Benchmark. Commercial use of CIS Benchmarks is subject to the prior approval of the Center for Internet Security.
[emphasis my mine]
In breve: se trasformo quel PDF in una sorta di script, non posso più chiamarlo "un benchmark CIS". Inoltre, nessun uso commerciale.
Quindi, se hai davvero bisogno che il tuo asset sia sottoposto al benchmark CIS, non c'è modo di aggirare un abbonamento. In termini di costi non è così male come pensavo, ma potrebbe essere difficile per organizzazioni molto piccole .
Tenable pubblica un modulo leggibile dalla macchina, ma ha anche una licenza restrittiva, quindi di nuovo, non c'è modo di pagare.
Se la sua "giusta" sicurezza a cui si è interessati, ci sono, naturalmente, varie buone alternative (vedi domanda), e molte sembrano essere ispirate al CIS (o viceversa). Ma nel nostro caso, i nostri clienti stavano chiedendo di CIS, quindi abbiamo bisogno di ottenere un abbonamento.