Theo báo cáo tháng 10/2022 của GitHub, khoảng 90% tổ chức hiện đang sử dụng nguồn mở theo một cách nào đó.
Với PMNM, bất kỳ ai cũng có thể là người kiểm tra, cho dù đó là kẻ tấn công hay nhà bảo mật. Nhưng điều này không có nghĩa là nó mang lại ưu thế cho những kẻ tấn công. Thay vào đó, nó mang đến cho những người làm công tác bảo mật cơ hội giảm chi phí phòng thủ, tăng cường hợp tác và đảm bảo nhiều “con mắt” đang làm việc cùng nhau để phát hiện ra các lỗ hổng.
Bảo mật sẽ luôn là ưu tiên hàng đầu của các doanh nghiệp (DN) và nguồn mở cũng như việc cộng tác sẽ là những yếu tố có khả năng thúc đẩy những cách thức mới nhằm bảo vệ, chống lại những mối đe dọa bảo mật đang ngày một gia tăng.
Phòng bệnh hơn chữa bệnh
Esiderius Erasmus, nhà triết học người Hà Lan có câu nói nổi tiếng rằng “phòng bệnh hơn chữa bệnh”, và điều đó đúng hơn trong an ninh mạng. Ở đây, tốc độ và sự linh hoạt của nguồn mở phát huy tác dụng.
Khi ngày càng có nhiều tổ chức sử dụng nguồn mở thì sẽ có một hiệu ứng cấp số nhân tại nơi làm việc. Khi mã của PMNM được nhiều nhóm an ninh mạng lớn thông qua thì nhiều vấn đề có thể được dự báo trước và xử lý. Thay vì có một nhóm duy nhất tìm kiếm lỗi và khai thác, mã nguồn mở đưa tiến trình này ra toàn thế giới. Mã nguồn mở được hiển thị công khai, do đó bất kỳ ai cũng có thể tìm ra những lỗi mà các nhà phát triển có thể chưa thể nhận ra.
Là một công cụ hiệu quả và được áp dụng rộng rãi, sự tinh vi của mối đe dọa nguồn mở lại giúp các DN xác định được tất cả rủi ro, lỗ hổng và các mối đe dọa đang ngày càng gia tăng để bảo vệ tài sản dữ liệu có giá trị của mình. Đối với các công ty sử dụng nguồn mở thì đây là sự hợp tác, với nhiều tổ chức và cá nhân thì lại mang đến nhiều lợi ích trong việc giữ chặt chẽ và cập nhật về tính bảo mật.
Bên cạnh nguồn mở, các DN nên có những biện pháp thực hành để đảm bảo an toàn cho phần mềm như đánh giá mã, quét tìm lỗ hổng, khả năng hiển thị trong hệ thống và nắm được bề mặt tấn công… Đây cũng là một số cách có thể đánh giá về bảo mật đối với các mã, các gói và hệ thống. Dựa trên điều này, các chương trình tiền thưởng lỗi đã trở thành hiện thực đối với các công ty công nghệ lớn với việc công nhận và trao các giá trị giải thưởng cho việc báo cáo các lỗ hổng bảo mật và lỗi thiết kế.
Tăng cường bảo mật bằng dụng nhiều công cụ kiểm tra
Theo báo cáo của Linux năm 2022, các tổ chức rất lạc quan về tính bảo mật của quá trình phát triển PMNM. Trung bình, 77% tổ chức tin rằng tính bảo mật của quá trình phát triển nguồn mở sẽ được cải thiện vào cuối năm 2023. Nhiều người cũng tin rằng chiến lược bảo mật của họ sẽ được thúc đẩy bởi các công cụ bảo mật thông minh hơn từ các nhà cung cấp.
Theo kết quả báo cáo, trung bình, các tổ chức sử dụng 2 - 3 công cụ kiểm tra bảo mật để xác định các lỗ hổng. Nói chung, sử dụng càng nhiều công cụ thì càng có lợi, vì mỗi công cụ có những giá trị theo những cách khác nhau. Các công cụ của bên thứ ba cung cấp tiềm năng mở rộng và tự động hóa. Những công cụ SCA (phân tích thành phần phần mềm) được chứng minh là hữu ích nhất, cho phép các tổ chức xác định những vấn đề về giấy phép và các lỗ hổng, thành phần phụ thuộc… theo con đường tự động hóa.
Bên cạnh các hoạt động kiểm tra bảo mật, ngày càng có nhiều tổ chức đang tăng cường sử dụng tính năng tự động hóa để giảm thiểu bề mặt tấn công. Bằng cách tự động khám phá các phần phụ thuộc nguồn mở trong ứng dụng, các DN được cung cấp thông tin có giá trị và tạo lập được phiên bản nguy cấp, đồng thời kích hoạt cảnh báo để xác định những vi phạm chính sách.
Sau đó, các DN tự động theo dõi, cảnh báo và chặn các cuộc tấn công nhắm mục tiêu vào bất kỳ lỗ hổng nào của thành phần nguồn mở, giúp các tổ chức có hành động phản ứng nhanh chóng, kịp thời. Khi sử dụng các công cụ này để tìm lỗ hổng hoạt động thì ngay tại nơi mà phần phụ thuộc có lỗ hổng sẽ có một phiên bản không có lỗ hổng.
Sự phát triển của bảo mật mã nguồn mở
Nhằm đảm bảo tính bảo mật của PMNM, các chính phủ, các công ty công nghệ lớn cùng với OpenSSF (quỹ bảo mật nguồn mở) đã công bố những sáng kiến để cải thiện tính bảo mật của phần mềm nguồn mở, bao gồm một quỹ trị giá 30 triệu USD để tăng cường bảo mật PMNM.
Khi các tổ chức đang phải tiếp tục đối mặt với rủi ro địa chính trị và các cuộc tấn công vào chuỗi cung ứng thì sự tập trung toàn cầu này vào bảo mật trong nguồn mở có thể sẽ tăng lên trong năm tới. Các nhà phát triển sẽ nỗ lực ngăn chặn các cuộc tấn công này cùng với việc tăng cường hợp tác giữa các tổ chức để tăng cường bảo mật nguồn mở./.