Hiểm họa tiềm tàng mã nguồn mở trong ứng dụng doanh nghiệp

Đầu tháng 4 năm 2016, việc đóng cửa thư mục tra cứu những nguồn mở đã đặt ra thách thức rất lớn cho những nhà phát triển đã quen dùng lại phần lớn các mã nguồn có sẵn miễn phí.

Các nhà phát triển phần mềm biết đến với OSVDB (Open Sourced Vulnerability Database) là nguồn cung cấp miễn phí bản vá những lỗ hổng bảo mật. Mặc dù có rất nhiều nguồn khác nhưng việc đóng cửa OSVDB đã cây sự ảnh hưởng lớn và phản ảnh các vấn đề sử dụng nguồn mở, nhất là vấn đề phát triển doanh nghiệp. Hầu hết, khi được tích hợp vào ứng dụng OSVDB không cập nhật và sửa chữa những lỗ hổng sau đó.

Sau khi đóng cửa, những thách thức lớn đặt ra cho các nhà phát triển khi ứng dụng doanh nghiệp được phát triển từ nguồn mở. Đây là vấn đề lớn, Mark Curphey, Giám đốc điều hành SourceClear, một công ty non trẻ tập trung vào việc bảo mật phần mềm nguồn mở, cho rằng “hầu hết mọi người dùng nguồn mở, có thể lên đến 99%, chỉ có 1% code là tự viết”.

Nhưng thực tế có lẽ chỉ khoảng 75%, nhưng như thế vẫn đáng kể, theo Mike Pittenger, Phó chủ tịch chiến lược cho Black Duck, hãng cung cấp dịch vụ giúp vá tự động các lỗ hổng nguồn mở cho khách hàng.

Các công ty cung cấp dịch vụ tương tự, như WhiteSource, thì dùng thông tin của OSVDB cho mục đích thương mại. Hãng này dò tìm ra các thành phần nguồn mở trong các ứng dụng của khách hàng và cảnh báo khi có đoạn code “dễ tổn thương” được thêm vào dự án phần mềm đang triển khai hoặc khi có các lỗ hổng mới ảnh hưởng đến phần mềm hiện có của khách hàng.

Vấn đề cấp thiết hiện nay là phát triển phần mềm nhanh chóng dẫn đến việc sử dụng phổ biến nguồn mở, có sẵn, miễn phí và được cả cộng đồng tham gia chỉnh sửa và phát triển. Nhưng sự gấp rút đó có thể dẫn đến việc các phiên bản của phần mềm nguồn mở được sử dụng không có hồ sơ đầy đủ, khiến cho các chuyên gia bảo mật phải mò mẫm tìm hiểu các ứng dụng trong doanh nghiệp có lỗ hổng nào hay không để chỉnh sửa. Trừ khi các nhà phát triển tự giác ghi lại nguồn mở mà họ sử dụng, còn không việc tập hợp thông tin sau đó nói chung phụ thuộc vào “bộ nhớ của nhóm phát triển”.

Nhận thức rõ được công việc này chính là những hacker, chúng có thể theo dõi GitHub để xem ai đóng góp mã nguồn gì và mã nguồn của ai có vấn đề. Sau đó, chúng sẽ lần theo những người quan tâm mã nguồn đó để tìm hiểu những dự án họ đang làm việc, hy vọng họ sẽ sử dụng một số mã nguồn có lỗ hổng đã tìm thấy trên GitHub. Vấn đề tiềm ẩn chính là  thói quen dùng lại mã nguồn mở trong phần mềm mới vẫn còn tồn tại.

Cần làm gì để giảm nguy cơ?

– Nắm rõ phần mềm đã mua có thành phần nguồn mở hoặc của bên thứ ba nào.
– Yêu cầu hãng phần mềm cung cấp tài liệu về cách thức họ theo dõi liên tục các thành phần mà họ sử dụng và cách thức vá các lỗ hổng. Xem xét mức độ trưởng thành quy trình phát triển phần mềm phát triển.
– Chú ý khi có một thư viện thương mại của bên thứ ba được sử dụng, thì nhà cung cấp có cam kết đảm bảo các thành phần bị lỗi được vá cho doanh nghiệp của bạn hay không?
– Tìm hiểu, kiểm tra khả năng đứng vững của phần mềm trước các mối đe dọa
– Đặt ưu tiên các ứng dụng cần được giám sát và thực hiện nghiêm ngặt dựa trên mức độ quan trọng của ứng dụng đối với doanh nghiệp và giá trị của các nguồn lực liên quan.

Quan trọng nhất ở đây là doanh nghiệp cần phải thiết lập và duy trì liên tục các chương trình nâng cấp và vá lỗi phần mềm. Hơn nữa, khi mua các ứng dụng doanh nghiệp nên tra hỏi các nhà phát triển về việc bảo mật trong quy trình của họ, cách họ sàng lọc mã nguồn và chương trình vá lỗi sản phẩm khi đã trao cho khách hàng.