Các thành phần nguồn mở đã lỗi thời hoặc bị bỏ rơi thực tế tồn tại ngày càng nhiều trong tất cả các phần mềm thương mại, khiến các ứng dụng của doanh nghiệp và người dùng gặp rủi ro từ các vấn đề bảo mật và sở hữu trí tuệ. Đó là kết luận của Synopsys - Công ty chuyên về xác minh sở hữu trí tuệ và bảo mật phần mềm của Mỹ, sau khi tiến hành nghiên cứu hơn 1.250 cơ sở mã nguồn thương mại. 

Đại diện các lĩnh vực và tỷ lệ rủi ro bảo mật trong báo cáo năm 2020 của Synopsys.

Những phát hiện chính

Theo Synopsys, vấn đề trọng yếu nhất trong báo cáo phân tích năm nay là rủi ro bảo mật do mã nguồn mở không được quản lý. Các chuyên gia kiểm soát mã đã tiết lộ rằng 75% các cơ sở mã chứa các thành phần nguồn mở với các lỗ hổng bảo mật đã được tiết lộ rộng rãi. Con số đó tăng từ 60% trong báo cáo năm ngoái. Tương tự, 49% của các cơ sở mã chứa các lỗ hổng rủi ro cao so với 40%.

Tỷ lệ chấp nhận mã nguồn mở ngày càng tăng, cho thấy mã nguồn mở không được quản lý xuất hiện trong phần mềm thương mại ngày càng tăng. 99% cơ sở mã chứa ít nhất một mã nguồn mở, với trung bình là 440 thành phần mã nguồn mở trên mỗi cơ sở mã. Điều đó thể hiện sự gia tăng đáng kể từ 298 thành phần được tìm thấy vào năm 2018. 70% mã kiểm soát được xác định là nguồn mở, một con số tăng từ 60% vào năm 2018 và đã tăng gần gấp đôi kể từ năm 2015 khi nó đứng ở mức 36%.

Xu hướng rủi ro

Bản tóm tắt về các xu hướng rủi ro nguồn mở đáng chú ý nhất được báo cáo qua các lần kiểm soát mã, như sau:

- 91% cơ sở mã chứa các thành phần đã lỗi thời hơn 4 năm hoặc không có hoạt động phát triển trong 2 năm qua.

- Ngoài khả năng các lỗ hổng bảo mật tồn tại, nguy cơ sử dụng các thành phần nguồn mở lỗi thời là việc cập nhật chúng cũng có thể gây ra các vấn đề về chức năng hoặc khả năng không tương thích.

- Việc sử dụng các thành phần nguồn mở dễ bị tổn thương đang có xu hướng tăng trở lại. Năm 2019, tỷ lệ phần trăm cơ sở mã chứa các thành phần nguồn mở dễ bị tổn thương đã tăng lên 75% sau khi giảm từ 78% xuống 60% giữa năm 2017 và 2018.

- Tương tự, tỷ lệ cơ sở mã chứa các lỗ hổng rủi ro cao đã tăng lên 49% vào năm 2019 từ 40% vào năm 2018.

- Không có cơ sở mã nào được kiểm soát vào năm 2019, khiến nó bị ảnh hưởng bởi lỗi Heartbleed chấn động vào năm ngoái và lỗ hổng Apache Struts vẫn còn ám ảnh từ năm 2017.

Đe dọa sở hữu trí tuệ

Việc sử dụng liên tục các thành phần nguồn mở không được quản lý khiến tài sản trí tuệ có liên quan đến phần mềm của các tổ chức gặp rủi ro. Mặc dù là phần mềm nguồn mở, miễn phí, nhưng giống như mã thương mại, nó vẫn bị chi phối bởi giấy phép.

Các nhà nghiên cứu thấy rằng 68% các cơ sở mã có chứa một số dạng xung đột giấy phép nguồn mở. 30% chứa các thành phần nguồn mở không có giấy phép. Lỗ hổng bảo mật là một mối quan tâm lớn nhưng vi phạm sở hữu trí tuệ vẫn là một rủi ro hiện hữu. Khoảng 73% các lỗ hổng đó đã làm cho các chủ sở hữu cơ sở mã gặp các vấn đề pháp lý có thể xảy ra. Các thành phần nguồn mở đa phần có các giấy phép mâu thuẫn với giấy phép tổng thể của cơ sở mã hoặc hoàn toàn không có giấy phép.

Theo báo cáo của Synopsys, tỷ lệ xung đột giấy phép thay đổi đáng kể theo ngành và lĩnh vực. Những xung đột này dao động từ mức cao 93% đối với các ứng dụng Internet và di động đến mức thấp 59% đối với các ứng dụng thực tế ảo (VR), trò chơi (game), giải trí và phương tiện truyền thông.

Theo các chuyên gia, ngày nay do có quá nhiều mã nguồn mở nên ngày càng khó kiểm soát, việc bảo mật phần mềm nguồn mở đang trở thành một thách thức mới. Các doanh nghiệp tiếp tục được khuyến nghị đầu tư nhiều hơn về nhân lực - các kỹ sư có năng lực công nghệ thông tin cùng các nhóm pháp lý doanh nghiệp có khả năng xác định quy trình sử dụng phần mềm nguồn mở, nhằm giúp các doanh nghiệp tránh các rủi ro bảo mật và sở hữu trí tuệ cho sản phẩm của mình.

HOÀNG THY (Theo Tech News World)