Nguồn mở có cải thiện được tính bảo mật?

on .

Tính mở không mang lại độ an toàn cho mã nguồn, nhưng một thành phần mới của nguồn mở mà những công ty nguồn mở lớn đóng góp vào có thể đảm bảo tính an toàn cho phần mềm ở một mức độ nào đó.

Một trong những ưu tiên hàng đầu trong năm 2015 đối với nhà phát triển ứng dụng Jim Zemlin là bảo mật.

Ở cương vị giám đốc điều hành của Linux Foundation, nhãn quan của Zemlin vượt ngoài khuôn khổ Linux. Cụ thể, ông còn hướng đến Cloud FoundryOpen DaylightTizenXen và nhiều nền tảng khác, trong đó có Core Infrastructure Initiative, là dự án hình thành để chuyên xử lý lỗ hổng HeartBleed nghiêm trọng trong OpenSSL phát hiện hồi năm ngoái.

Nếu quan tâm đến bảo mật, chắc hẳn bạn đã biết đến Heartbleed, một lỗ hổng cực kỳ nghiêm trọng, xuất hiện cách nay 2 năm, cho đến khi nhà nghiên cứu Nell Mehta tại Google Security phát hiện ra hồi tháng 3/2014.

Ngay lập tức có một bản vá Heartbleed. Nhưng để dò lại và vá mọi lỗ hổng OpenSSL phải mất nhiều tháng trời, và thời gian trôi qua, những tác hại của lỗ hổng này ngày một nhiều, trong đó Community Health Services báo cáo có đến 4,5 triệu người bị tác động.

Nguồn mở có cải thiện được tính bảo mật,bảo mật, an toàn thông tin, hacker, mã nguồn mở, nguồn mở, open source, Heartbleed
Được các doanh nghiệp chú ý nhiều hơn, các dự án nguồn mở sẽ có thêm tài chính và nguồn lực để gia cố tính an toàn.

Và Zemlin nhận ra rằng mã nguồn mở không còn an toàn như nguồn đóng. Phần lớn lý do nằm ở chỗ dự án OpenSSL trước đây chỉ do "2 gã tên Steve" (là hai nhà tư vấn độc lập Stephen Henson và Steve Marquess) nắm nguồn, là người biết được những thông tin mã hóa và triển khai OpenSSL qua một dự án chứa hàng trăm nghìn dòng mã. Vậy có bao nhiêu cặp mắt đủ "sức khỏe" để dò đọc hết dòng mã lệnh đó để xem lỗ hổng nằm chỗ nào?

Sáu tháng sau đó, nhà quản trị khắp thế giới lại phải đối diện với một lỗi tên là Shellshock khó chịu, tận dụng lỗ hổng về mã nguồn trong dự án nguồn mở Bash có từ năm 1989. Chỉ mới hai vụ việc điển hình kể trên cũng đã khiến cho năm 2014 trở thành năm tồi tệ đối với bảo mật nguồn mở. Cùng lúc ấy, nguồn mở lại trỗi lên như là một cơ chế đầy tính sáng tạo, cải tiến cho phần mềm. Liệu bảo mật phần mềm có cần một thứ gì hơn thế?

Zemlin phản ứng với Heartbleed rất nhanh. Vừa mới phát hiện ra Heartbleed, ông lập tức triển khai dự án Core Infrastructure Initiative và kêu gọi ngay Amazon Web Services, Adobe, Bloomberg, Cisco, Dell, Facebook, Fujitsu, Google, Hitachi, HP, Huawei, IBM, Intel, Microsoft, NetApp, NEC, Qualcomm, Rackspace, Salesforce và VMware tham gia, là những doanh nghiệp hằng năm chi ra đến 100.000 USD (tối thiểu 3 năm) cho dự án này.

Với ngân quỹ mới, Zemlin có thể "thuê 2 gã Steve" làm việc toàn thời gian (thực chất là chỉ có Henson và một người khác là Andy Polyakov) để sửa lại OpenSSL. Một phần của dự án lớn này là dự án nhỏ hơn Open Crypto Audit Project chuyên dò lại lỗi của mã nguồn OpenSSL.

Nói cách khác, dự án OpenSSL trước đây trung bình có quỹ tài trợ khoảng 2.000 USD/năm, nhưng nay được nhiều doanh nghiệp lớn quan tâm. Nhiều sự quan tâm cũng có nghĩa là OpenSSL sẽ có thêm được nhiều cặp mắt soi mói hơn, đảm bảo về tính bảo mật hơn trước.

Dự án về OpenSSL như lời đáp trả lại Heartbleed. Trong vài năm qua, các dự án nguồn mở có tác động rộng, lớn (như Docker hay Kubernetes) ngày càng được nhiều doanh nghiệp lớn quan tâm hơn ngay từ giai đoạn phát triển ban đầu, trong khi những dự án nguồn mở khác (như OpenStack hay Open Daylight) thực sự thu hút nhiều bên liên kết. Ví dụ OpenStack có riêng một đội quản lý lỗ hổng (Vulnerability Management Team) và một nhóm bảo mật (Security Group).

Vậy có nhiều quan tâm hơn thì các mã nguồn dự án nguồn mở có an toàn hơn không? Dĩ nhiên là không. Để các nhà phát triển viết mã nghiêm túc về chuyện bảo mật luôn là điều khó, đơn giản không vì họ không quan tâm nhưng còn vì những tiêu chí bảo mật và tính dễ sử dụng luôn luôn là hai yếu tố chõi nhau, "khó chịu". Tuy vậy, những dự án quan trọng, mang tính cộng tác như OpenSSL vừa được quan tâm trở lại gần đây đã cho thấy khía cạnh bảo mật là quan trọng đến nhường nào.

Ví dụ, cho dù bạn nghĩ thế nào về việc Rocket của CoreOS "cạch mặt" Docker như thế nào thì CoreOS cũng đã chọn Docker vì ưu tiên về mặt bảo mật.

Chúng ta hãy hy vọng đây là một chu trình có ý nghĩa. Mỗi công ty công nghệ lớn, trong đó cóMicrosoft, bây giờ đã thấy sức mạnh và ích lợi của những cải tiến mà nguồn mở mang lại. Thực chất, các doanh nghiệp phần mềm lớn không tạo ra được bước đột phá nào về mặt bảo mật cả. Nhưng dần dần, toàn ngành công nghiệp phần mềm nhận ra rằng chúng ta sẽ tiến nhanh hơn nếu cộng tác lại với nhau, cùng nhau phát triển và hỗ trợ các công nghệ bảo mật nền tảng nguồn mở, để các nhà phân phối ứng dụng độc lập có thể tạo sự khác biệt cho riêng sản phẩm của mình. Việc cộng tác này có thể có được kết quả là phần mềm ngày càng bảo mật hơn cho người dùng.

Qua nhiều năm quan sát, chúng ta chưa thể khái quát hóa được việc phần mềm nguồn mở và phần mềm nguồn đóng, nền tảng nào an toàn hơn. Điều mà chúng ta mong mỏi là những doanh nghiệp lớn có thể cùng nhau hợp tác để nâng tính bảo mật, an toàn lên một mức cao hơn. Chí ít, các dự án nguồn mở đến nay cũng đã được các bên thực sự quan tâm, không còn chuyện riêng của "2 gã Steve" nữa.

Nguồn: http://www.pcworld.com.vn/articles/cong-nghe/an-ninh-mang/2015/01/1237730/nguon-mo-co-cai-thien-duoc-tinh-bao-mat/