Mới đây, Trung tâm Nghiên cứu An ninh mạng Synopsys đã công bố một báo cáo kiểm tra hơn 2.400 cơ sở mã từ các giao dịch mua bán và sáp nhập, nêu bật các xu hướng sử dụng mã nguồn mở trong các ứng dụng thương mại và cá nhân, đồng thời cung cấp thông tin chi tiết để giúp các nhà phát triển hiểu rõ hơn về hệ sinh thái phần mềm.
Báo cáo cho thấy một thực tế rằng mã nguồn mở được sử dụng ở mọi nơi, trong mọi ngành và là nền tảng của mọi ứng dụng được xây dựng ngày nay.
Mã nguồn mở lỗi thời vẫn còn được sử dụng như một tiêu chuẩn, bao gồm cả các phiên bản Log4j chứa lỗ hổng. Từ góc độ rủi ro hoạt động hoặc bảo trì, có đến 85% trong số 2.097 codebase chứa mã nguồn mở đã lỗi thời hơn 4 năm; 88% sử dụng các thành phần không phải là phiên bản mới nhất hiện có; 5% chứa phiên bản Log4j có lỗ hổng.
Việc đánh giá các codebase cho thấy, về tổng thể những lỗ hổng mã nguồn mở đang giảm dần. 2.097 codebase đã được đánh cả về rủi ro hoạt động và bảo mật, số lượng codebase có các lỗ hổng mã nguồn mở rủi ro cao đã giảm đáng kể. Theo báo cáo năm nay, 49% codebase chứa ít nhất một lỗ hổng bảo mật rủi ro cao (năm ngoái là 60%). 81% codebase chứa ít nhất một lỗ hổng mã nguồn mở đã biết, giảm ít nhất 3% so với kết quả của OSSRA năm 2021.
Xung đột giấy phép nói chung cũng đang giảm. Hơn một nửa (53%) codebase có xung đột giấy phép, giảm đáng kể so với mức 65% năm 2020. Nhìn chung, xung đột giấy phép cụ thể đã giảm trên diện rộng từ năm 2020 đến năm 2021.
20% codebase đã sử dụng mã nguồn mở không có giấy phép hoặc giấy phép tùy chỉnh, dẫn tới những rủi ro về vấn đề pháp lý.
Tim Mackey, trưởng bộ phận bảo mật cho biết chiến lược của Synopsys cho biết: "Những người dùng phần mềm xác thực khách hàng mạnh tập trung vào việc giảm thiểu các vấn đề về giấy phép nguồn mở, giải quyết các lỗ hổng có rủi ro cao và nỗ lực đó được phản ánh qua sự giảm sút về xung đột giấy phép và các lỗ hổng có nguy cơ cao trong năm nay. Tuy nhiên, thực tế là hơn một nửa số codebase chúng tôi đã kiểm tra vẫn chứa xung đột giấy phép và gần một nửa vẫn chứa các lỗ hổng có nguy cơ cao. Rắc rối hơn nữa là 88% codebase không sử dụng các phiên bản cập nhật hoặc bản vá mới của các thành phần mã nguồn mở ".
Theo Mackey, có nhiều lý do chính đáng cho việc không cập nhật phần mềm. Tuy nhiên, các tổ chức cần phải có đánh giá chính xác và cập nhật nguồn mở được sử dụng trong mã của mình, nếu không lỗ hổng có thể bị khai thác và đem lại rủi ro cao./.
