Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Rủi ro về bảo mật đối với phần mềm nguồn mở đóng góp ẩn danh

08:00 | 27/02/2025
ThS. Nguyễn Hữu Thanh (Cục Chứng thực số và Bảo mật thông tin - Ban Cơ yếu Chính phủ)

Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.

MỐI NGUY HIỂM TIỀM TÀNG TỪ ĐÓNG GÓP NGUỒN MỞ ẨN DANH

Vào ngày 02/12/2024, Lineaje, một công ty hàng đầu trong lĩnh vực bảo mật chuỗi cung ứng phần mềm đã công bố một báo cáo chi tiết cho biết Mỹ và Nga là những quốc gia khởi xướng nhiều dự án nguồn mở nhất, với số lượng đóng góp nguồn mở ẩn danh cao nhất. Nghiên cứu có tên: “Vượt qua ranh giới: Phá vỡ lòng tin” cung cấp đánh giá rõ ràng về chuỗi cung ứng phần mềm toàn cầu, làm sáng tỏ nguồn gốc của các thư viện phần mềm nguồn mở phụ thuộc sâu nhất, cùng các lỗ hổng bảo mật nghiêm trọng của chúng. Báo cáo được thực hiện bởi Lineaje AI Labs, bộ phận nghiên cứu của công ty, với dữ liệu từ hơn 7 triệu gói thư viện mã nguồn mở được đánh giá liên tục. Mục đích của báo cáo là cung cấp những thông tin quan trọng về các mối đe dọa và xu hướng mới trong phần mềm mã nguồn mở, từ đó cảnh báo các nhà phát triển phần mềm về những rủi ro và giúp họ có hướng đi đúng đắn để bảo vệ mã nguồn, người dùng và tổ chức của mình.

BẢN CHẤT TOÀN CẦU CỦA NGUỒN MỞ KHIẾN PHẦN MỀM ĐỐI MẶT VỚI NHỮNG RỦI RO VỀ ĐỊA CHÍNH TRỊ

Sự phân bổ các đóng góp nguồn mở từ nhiều quốc gia khác nhau mang đến những rủi ro về địa chính trị mà các tổ chức cần phải đặc biệt chú ý, nhất là khi các cuộc tấn công mạng mang quy mô quốc gia đang gia tăng. Microsoft ước tính rằng mỗi ngày, khách hàng của họ phải đối mặt với 600 triệu cuộc tấn công mạng, 24% trong số đó là các cuộc tấn công mang tầm quốc gia, chủ yếu nhắm vào lĩnh vực công nghệ thông tin. Khi phần mềm ngày càng đóng vai trò quan trọng đối với các hệ thống, việc hiểu rõ nguồn gốc của mã nguồn trở thành vấn đề quan trọng, liên quan đến an ninh quốc gia và nền kinh tế.

Rủi ro về bảo mật đối với phần mềm nguồn mở đóng góp ẩn danh

Hình 1. Top 10 quốc gia có rủi ro tiềm ẩn cao nhất từ những người đóng góp mã nguồn mở không xác định

Nghiên cứu về các ứng dụng cỡ trung bình phổ biến trên thế giới đã chỉ ra những rủi ro địa chính trị liên quan đến việc đóng góp mã nguồn:

- Mỹ là quốc gia đóng góp nhiều mã nguồn cho các dự án nguồn mở hơn bất kỳ quốc gia nào khác, chiếm hơn một phần ba (34%) tổng số đóng góp, tiếp theo là Nga với 13%, và một tỷ lệ phần trăm nhỏ hơn đến từ các quốc gia như Canada, Vương quốc Anh và Trung Quốc.

- Mỹ cũng có tỷ lệ đóng góp mã nguồn mở ẩn danh cao nhất: 20% trong số các đóng góp nguồn mở đến từ Mỹ là ẩn danh, gấp đôi tỷ lệ của Nga và gấp ba lần tỷ lệ của Trung Quốc. Trên toàn thế giới, có 5-8% trong số tất cả các thành phần nguồn mở của bất kỳ ứng dụng nào đều có nguồn gốc không rõ ràng, đã bị can thiệp hoặc có dấu hiệu nghi ngờ. Nhiều thành phần trong số này được đóng góp ẩn danh. Điều này cho thấy các nhà phát triển đang sử dụng mã nguồn mà họ không hoàn toàn hiểu rõ về nguồn gốc và chức năng của nó. Điều này có thể dẫn đến việc đưa vào các cửa hậu ngầm, phần mềm độc hại hoặc các lỗ hổng bảo mật nghiêm trọng, từ đó tạo ra các rủi ro bảo mật đáng lo ngại.

- Nguồn gốc địa lý của mã nguồn càng trở nên quan trọng đối với phần mềm phục vụ các ngành công nghiệp quan trọng

như quốc phòng, ngân hàng, điện nước và bán lẻ. Các ngành này phải đối mặt với thách thức trong việc bảo trì phần mềm khi những ngành công nghiệp này thường có những người đóng góp từ nhiều quốc gia, khiến cho việc loại trừ hoàn toàn mã nguồn từ các quốc gia có thể là đối thủ hoặc có mối quan hệ chính trị căng thẳng trở nên rất khó khăn.

VẤN ĐỀ NGHIÊM TRỌNG TRONG VIỆC BẢO TRÌ PHẦN MỀM NGUỒN MỞ

Báo cáo cũng chỉ ra rằng bất chấp những yếu tố về địa lý, ứng dụng nguồn mở cỡ trung bình có thể mang đến những rủi ro bảo mật nghiêm trọng bao gồm:

- Mã nguồn mở đang thúc đẩy các điểm yếu về bảo mật: Các dự án mã nguồn mở đóng góp số lượng nhiều gấp từ 2 đến 9 lần so với số lượng mã nguồn mà các nhà phát triển tự viết. Hơn 95% các lỗ hổng bảo mật bắt nguồn từ các gói thư viện nguồn mở phụ thuộc. Đáng chú ý, hơn một nửa (51%) trong số những lỗ hổng này trải dài ở tất cả các mức độ nghiêm trọng của thang đo các lỗ hổng phổ biến CVE (Common Vulnerabilities and Exposures) không có bất kỳ bản vá lỗi nào được công bố. Hơn nữa, 70% các thành phần nguồn mở hiện không còn được bảo trì hoặc bảo trì rất kém, làm tăng nguy cơ bị khai thác bởi các tin tặc.

- Mã nguồn mở không được bảo trì thường xuyên dễ bị tấn công hơn so với mã nguồn mở được bảo trì tốt: Mã nguồn mở không được bảo trì có nguy cơ bị tấn công cao hơn gấp 1,8 lần so với những mã nguồn được bảo trì thường xuyên. Tuy nhiên, sự thay đổi quá nhanh trong các thành phần thường được bảo trì cũng có thể làm tăng những rủi ro về bảo mật, vì những thay đổi này có thể tạo ra các lỗ hổng mới mà chưa kịp phát hiện và khắc phục.

- Các lỗ hổng ẩn trong các lớp sâu và việc khắc phục chúng là một thách thức lớn: Các dự án mã nguồn mở riêng lẻ có thể chứa đến 60 lớp thành phần từ hàng chục tổ chức nguồn mở khác nhau. Những thành phần này thường được kết hợp với nhau trong một cấu trúc phức tạp, giống như các khối Lego, trong một phụ thuộc duy nhất mà các nhà phát triển đưa vào ứng dụng của họ. Điều này dẫn đến khả năng đánh giá rủi ro bị kém đi, khiến việc khắc phục các lỗ hổng càng trở nên khó khăn. Việc xác định lỗ hổng nào có thể sửa dễ dàng và lỗ hổng nào không nên sửa sẽ giúp giảm ít nhất 50% công sức cần bỏ ra để sửa và nâng cao hiệu quả bảo mật lên từ 20% đến 70%.

- Sự tràn lan của các phiên bản tạo ra nhiều phức tạp: Hơn 15% các thành phần mã nguồn mở trong một ứng dụng có nhiều phiên bản khác nhau, điều này làm cho việc khắc phục các lỗ hổng bảo mật trở nên khó khăn và tốn thời gian hơn. Khi các phiên bản không đồng nhất, các nhà phát triển phải đối mặt với thách thức trong việc xác định và cập nhật đúng phiên bản để đảm bảo bảo mật cho toàn bộ hệ thống.

- Sự đa dạng ngôn ngữ lập trình đang làm gia tăng rủi ro bảo mật: Một ứng dụng cỡ trung bình có thể chứa tới 1,4 triệu dòng mã được viết bằng 139 ngôn ngữ lập trình khác nhau, trong đó nhiều ngôn ngữ có tính bảo mật thấp và dễ gây rủi ro về quản lý bộ nhớ. Các tổ chức chú trọng đến bảo mật trong thiết kế thường sử dụng ngôn ngữ an toàn cho quản lý bộ nhớ trong mã nguồn của họ, nhưng sự phụ thuộc vào các ngôn ngữ khác trong các thành phần nguồn mở lại làm tăng thêm các nguy cơ bảo mật, trừ khi các ngôn ngữ này được lựa chọn kỹ càng và đảm bảo an toàn.

- Quy mô nhóm phát triển ảnh hưởng đến chất lượng và tính bảo mật của mã nguồn: Các dự án mã nguồn mở với đội ngũ rất nhỏ (dưới 10 người) hoặc đội ngũ lớn (trên 50 người) thường có các gói mã nguồn chứa nhiều rủi ro hơn so với các nhóm có quy mô trung bình. Cụ thể, các nhóm nhỏ có nguy cơ cao hơn tới 330% so với các nhóm có quy mô trung bình, trong khi các nhóm lớn hơn cũng có tỷ lệ rủi ro cao hơn 40% so với các nhóm có quy mô trung bình. Điều này cho thấy rằng quy mô nhóm phát triển ảnh hưởng trực tiếp đến khả năng phát hiện và khắc phục các lỗ hổng bảo mật trong mã nguồn.

Rủi ro về bảo mật đối với phần mềm nguồn mở đóng góp ẩn danh

Ý KIẾN TỪ CÁC CHUYÊN GIA BẢO MẬT

Manish Gaur, Giám đốc Bảo mật sản phẩm VMWare của Broadcom, chia sẻ: “Các dự án nguồn mở mang lại cơ hội đổi mới mạnh mẽ, giúp chuyển đổi ngành công nghiệp cho các doanh nhân, cơ quan chính phủ và các công ty trên toàn thế giới. Tuy nhiên, sự đổi mới này cũng đi kèm với rủi ro lớn hơn. Nhưng điều này không có nghĩa là các rủi ro đó không thể chấp nhận được. Báo cáo của Lineaje AI Labs cung cấp những hiểu biết quý giá về các mối đe dọa và xu hướng bảo mật do nguồn mở mang lại. Những người sáng tạo phần mềm cần phải lưu ý, biết cách bảo vệ mã nguồn, bảo vệ khách hàng và bảo vệ chính tổ chức của mình”.

Javed Hasan, CEO và đồng sáng lập của Lineaje, cho biết: “Nghiên cứu mới nhất của Lineaje AI Labs chỉ ra rằng các tổ chức đang chưa thực sự hiểu hết về các thành phần nguồn mở và nguồn gốc của chúng, điều này khiến họ phải đối mặt với các rủi ro nghiêm trọng. Trong bối cảnh căng thẳng địa chính trị hiện nay và sự phụ thuộc toàn cầu vào mã nguồn mở, điều quan trọng là các doanh nghiệp cần trang bị cho mình các công cụ bảo mật và bảo trì chuỗi cung ứng phần mềm mạnh mẽ để phát hiện ra các lỗ hổng bảo mật tiềm ẩn, đồng thời đảm bảo tuân thủ các tiêu chuẩn đang thay đổi theo thời gian”.

KẾT LUẬN

Báo cáo của Lineaje AI Labs đã chỉ ra những rủi ro rõ rệt từ việc sử dụng nguồn mở trong môi trường kinh doanh toàn cầu, đặc biệt là khi các đóng góp mã nguồn ẩn danh từ nhiều quốc gia có thể tiềm ẩn nguy cơ về an ninh mạng. Các tổ chức và doanh nghiệp cần chú ý và triển khai các công cụ bảo mật mạnh mẽ để giám sát, phát hiện các lỗ hổng và bảo vệ chuỗi cung ứng phần mềm của mình khỏi những mối đe dọa tiềm tàng.

TÀI LIỆU THAM KHẢO

[1]. https://www.businesswire.com/news/home/20241202090813/en/Study-Reveals-the-U.S.-is-the-No.-1-Offenderof-Anonymous-Open-Source-Contributions.

[2]. https://www.securitymagazine.com/articles/101220-us-istheto-generator-of-anonymous-open-source-contributions
Twitter Zalo Facebook YouTube Copy Link QR Code
CHUỖI CUNG ỨNG PHẦN MỀM ĐỊA CHÍNH TRỊ ẨN DANH BẢO TRÌ PHẦN MỀM CÔNG CỤ BẢO MẬT NGUY CƠ BẢO MẬT PHẦN MỀM MÃ NGUỒN MỞ
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết