Phần mềm là cốt lõi của tất cả các doanh nghiệp hiện đại và rất quan trọng trong mọi khía cạnh của hoạt động. Hầu như mọi doanh nghiệp sẽ sử dụng phần mềm nguồn mở, dù cố ý hay không, vì ngay cả phần mềm sở hữu độc quyền cũng phụ thuộc vào các thư viện nguồn mở. OpenUK's Báo cáo “Trạng thái mở” năm 2022 cho thấy 89% doanh nghiệp đang dựa vào phần mềm nguồn mở, nhưng không phải tất cả đều rõ ràng về chi tiết của phần mềm mà họ dựa vào.
Các doanh nghiệp ngày càng đòi hỏi nhiều thông tin hơn về phần mềm quan trọng trong hoạt động của họ. Các doanh nghiệp có trách nhiệm đang quan tâm chi tiết đến chuỗi cung ứng phần mềm của họ và tạo ra một hóa đơn nguyên vật liệu phần mềm (SBOM) cho mỗi ứng dụng. Mức thông tin này rất quan trọng để khi các lỗi bảo mật được xác định trong phần mềm của họ, họ có thể ngay lập tức chắc chắn phần mềm và phiên bản nào đang được sử dụng cũng như hệ thống nào bị ảnh hưởng. Kiến thức là sức mạnh trong những tình huống này!
Phụ thuộc vào tình nguyện viên
Vào cuối năm 2021, một lỗ hổng bảo mật có tên Nhật ký4Shell đã được xác định trong khung ghi nhật ký Java được sử dụng rộng rãi, Log4j. Vì đây là một thư viện mã nguồn mở được sử dụng rộng rãi nên lỗ hổng này đã được phổ biến rộng rãi và các bản sửa lỗi đã được mong đợi. Tuy nhiên, các những người duy trì dự án là tình nguyện viên. Họ có công việc ban ngày và không được yêu cầu sửa lỗi bảo mật khẩn cấp, ngay cả khi một số lượng lớn hệ thống bị ảnh hưởng. Chỉ riêng lỗ hổng này được ước tính đã ảnh hưởng đến 93% môi trường đám mây doanh nghiệp.
Vào thời điểm đó, có một số báo chí tiêu cực về nguồn mở, nhưng sự thật là nếu đây là một thành phần nguồn đóng thì lỗ hổng này có thể chưa bao giờ được công khai, khiến các tổ chức có nguy cơ bị tấn công. Bản chất nguồn mở của thư viện có nghĩa là nó có thể được kiểm tra, các vấn đề được tìm thấy và lời khuyên được đưa ra bởi những người khác. Vì vậy, vâng, những người bảo trì đã không được yêu cầu giải quyết các vấn đề về an ninh trong dự án tình nguyện của họ. Khi đó, câu hỏi lớn là: Làm thế nào chúng ta lại rơi vào tình huống mà các công ty lớn phụ thuộc vào phần mềm vốn là trách nhiệm của người khác để thanh toán hóa đơn của họ?
Bỏ qua sự phụ thuộc của phần mềm là một công việc kinh doanh rủi ro bất kể giấy phép của phần mềm là gì, nhưng khi nó là nguồn mở và được sử dụng rất rộng rãi, nó sẽ trở nên đặc biệt nguy hiểm. Gắn bó với câu chuyện về một lỗ hổng; vấn đề đã tồn tại trong cơ sở mã trong nhiều năm nhưng không được phát hiện. Trên thực tế, công cụ được sử dụng rộng rãi như vậy lại không được hỗ trợ rộng rãi - và những gì xảy ra tiếp theo là lịch sử.
Câu chuyện này được lặp đi lặp lại ở rất nhiều doanh nghiệp có sự phụ thuộc quan trọng nhưng không thực hiện hành động để hỗ trợ người bảo trì hoặc bản thân dự án. Có SBOM cho phần mềm được doanh nghiệp sử dụng có nghĩa là họ có sẵn thông tin. Đối với các tổ chức cung cấp phần mềm cho người khác, kỳ vọng cung cấp SBOM cùng với mã ngày càng trở thành tiêu chuẩn.
Biết phụ thuộc để đánh giá rủi ro
Việc trang bị kiến thức về các mối phụ thuộc giúp đánh giá rủi ro liên quan đến từng mối quan hệ một cách dễ dàng hơn. Các dự án nguồn mở này là những dự án dễ đánh giá nhất: các vấn đề đã được giải quyết chưa và gần đây có bản phát hành nào không? Việc có thể xem những người bảo trì và hoạt động của dự án cho từng dự án sẽ mang lại cái nhìn sâu sắc về tình trạng của dự án.
Các doanh nghiệp có thể góp phần giảm thiểu rủi ro bằng cách hỗ trợ các dự án mà họ phụ thuộc. Một số dự án chấp nhận tài trợ trực tiếp thông qua chương trình Nhà tài trợ GitHub, thay vào đó, những dự án khác có thể đánh giá cao các đề nghị lưu trữ hoặc kiểm tra bảo mật. Mọi dự án nguồn mở đều đánh giá cao sự đóng góp. Nếu doanh nghiệp của bạn tự tạo thư viện này, thì các kỹ sư trong công ty sẽ phải tự sửa mọi lỗi.
Nguồn mở giống như một sơ đồ sở hữu chung hơn. Tất cả chúng ta không phải xây dựng cùng một thứ nhiều lần mà có thể đóng góp, điều này vừa tốn ít công sức hơn vừa dẫn đến chất lượng tốt hơn. Một trong những điều có tác động lớn nhất mà doanh nghiệp có thể làm là sử dụng một ít nguồn lực kỹ thuật và đóng góp sửa lỗi hoặc tính năng cho các dự án đó là cốt lõi cho doanh nghiệp.
Giữ các kỹ sư của riêng bạn tham gia vào một dự án có nhiều lợi ích. Họ làm quen với nó và có thể theo dõi các tính năng mới hoặc khi có bản phát hành mới. Điều quan trọng là doanh nghiệp có cái nhìn sâu sắc về tình trạng và tình trạng của dự án phụ thuộc và là một phần của việc giữ cho dự án đó hoạt động lành mạnh, giảm rủi ro cho doanh nghiệp khi gặp sự cố với người phụ thuộc. Một số tổ chức, bao gồm cả Aiven, có OSPO (văn phòng chương trình nguồn mở), với các nhân viên chuyên đóng góp hoặc thậm chí duy trì các dự án được sử dụng bởi tổ chức. Các bộ phận này thường đóng góp vào sự hiện diện chung của công ty trong hệ sinh thái nguồn mở và cho phép các nhân viên khác tham gia với nguồn mở.
Một cách tiếp cận khác là hỗ trợ các tổ chức tồn tại để hỗ trợ nguồn mở. Các OpenSSF (Tổ chức bảo mật mã nguồn mở) hoạt động để cải thiện tính bảo mật của các dự án nguồn mở và được tài trợ bởi các tổ chức phụ thuộc vào các dự án đó. Nó cũng xuất bản các tài nguyên học tập tuyệt vời để các doanh nghiệp có thể tự giáo dục mình về những rủi ro của phần mềm họ sử dụng. Một tổ chức tương tự khác là thủy triều, hợp tác với các nhà bảo trì để đảm bảo đáp ứng các yêu cầu cơ bản nhất định, lại được tài trợ bởi các tổ chức. Tidelift cũng cung cấp công cụ và giáo dục để giúp các doanh nghiệp quản lý chuỗi cung ứng phần mềm của họ và áp dụng các phương pháp hay nhất trong lĩnh vực này.
Đảm bảo một tương lai phần mềm an toàn hơn
Các doanh nghiệp phụ thuộc vào phần mềm và điều này bao gồm phần mềm nguồn mở, được sử dụng rộng rãi và thường an toàn hơn các giải pháp thay thế sở hữu độc quyền.
Đây là một bước đi thông minh, nhưng một bước đi thông minh hơn nữa là có kiến thức rõ ràng về chuỗi cung ứng phần mềm và các phần phụ thuộc của nó. Khi một vấn đề phát sinh, tùy thuộc vào các dự án lành mạnh và việc có sẵn các chi tiết về phần mềm của bạn sẽ giúp ích cho mọi tổ chức. Nếu mọi tổ chức đều làm điều này thì nguy cơ xảy ra các sự kiện như lỗ hổng Log4Shell sẽ giảm đi.
