OpenSSF công bố Tuyên ngôn sử dụng nguồn mở để tối ưu hóa việc sử dụng phần mềm nguồn mở

Trong một bước tiến tới việc gói gọn các lợi ích của phần mềm nguồn mở (OSS) một cách thận trọng hơn, Tổ chức Bảo mật Nguồn Mở (OpenSSF) đã đưa ra Tuyên ngôn Tiêu dùng Nguồn Mở (OSCM). Tương tự như Tuyên ngôn Agile mang tính biểu tượng, OSCM là một tài liệu được củng cố bởi các giá trị cốt lõi và chứa 15 nguyên tắc hướng dẫn được thiết kế để hợp lý hóa việc sử dụng nguồn mở.

Không thể chối cãi rằng phần mềm nguồn mở đã là một trợ thủ đắc lực cho những đổi mới chớm nở và hiệu quả hoạt động. Tuy nhiên, có một thực tế được thừa nhận rõ ràng là có sự khác biệt rõ ràng về mặt chất lượng và bảo mật giữa các dự án PMNM khác nhau. Do đó, OpenSSF đã nhấn mạnh việc thiếu cách tiếp cận chiến lược hướng tới việc sử dụng PMNM trên nhiều tổ chức.

Mặc dù có thể thuận tiện nhưng OSS cũng có những sai sót riêng. Một sơ suất đáng báo động đã được quan sát thấy trong quá trình đánh giá OSS, đặc biệt khi so sánh với phần mềm của bên thứ ba. Ít nhất có thể nói rằng các trường hợp giám sát mà nó phải chịu, về mặt bảo mật, chất lượng mã và cấp phép, là không đủ. Điều này dẫn đến các yếu tố rủi ro đáng kể xuất hiện, như Nhóm làm việc về người dùng cuối OpenSSF đã lưu ý.

Mặc dù phần mềm của bên thứ ba khó có thể chứa nội dung độc hại nhưng rủi ro sẽ hiện thực hóa trong giai đoạn tải xuống đối với những người không quen với sự phức tạp của OSS. Brian Fox, đồng sáng lập và CTO tại Sonatype, cho biết: “Chúng tôi đã thấy 96% thành phần dễ bị tấn công được tải xuống khi đã có sẵn phiên bản sửa lỗi”.

Nhận thức được những vấn đề này, Nhóm làm việc về người dùng cuối OpenSSF đã bắt tay vào hành động để tìm ra cách khắc phục vấn đề này. Được hướng dẫn bởi một loạt các cuộc thảo luận, họ đã đưa ra Tuyên ngôn về Tiêu dùng Nguồn Mở. Thay vì là một điều răn nghiêm ngặt, OSCM ủng hộ nguyên nhân của tính toàn diện và hình thức của nó đã được hình thành dựa trên đầu vào từ một số nguyên tắc và văn bản của nó tự hoàn thiện dựa trên các cá nhân sử dụng nó.

Tuyên ngôn bao gồm các điều khoản quan trọng như tăng cường sử dụng nguồn mở thông qua các chức năng kiểm tra và kiểm dịch đối với các thành phần có liên quan đến các lỗ hổng đã biết và các gói có hại.

Một biện pháp quan trọng để chống lại các mối đe dọa từ các thành phần cố ý gây hại là có một hệ thống theo dõi toàn diện để giám sát mức tiêu thụ linh kiện. Fox cho biết thêm, việc kết hợp điều này với dữ liệu và nguồn cấp dữ liệu hành vi cho phép hệ thống của bạn thực hiện các cuộc gọi theo thời gian thực về việc liệu thứ gì đó có nên được phê duyệt hay đánh dấu đang chờ xem xét chi tiết hay không.

Đối với các tổ chức bắt đầu con đường theo đuổi khả năng quan sát của phần mềm nguồn mở, sẽ rất hiệu quả nếu bắt đầu bằng cách phân loại các ứng dụng của họ theo tầm quan trọng. Tiếp theo điều này nên được thực hiện bằng cách biên soạn bản kiểm kê PMNM được nhúng trong các ứng dụng này, thường thông qua các hóa đơn vật liệu phần mềm và phát hiện các nhà cung cấp khác nhau. Theo Fox, hiện có khá nhiều nhóm phát triển không có sẵn những thành phần quan trọng này.

Sau đó, điều khôn ngoan là tìm kiếm những trường hợp có nhiều nhà cung cấp được tuyển dụng cho cùng một chức năng, chẳng hạn như sử dụng nhiều khung ghi nhật ký khác nhau. Điều tiếp theo cần làm là tập trung vào các nhà cung cấp tốt nhất bằng cách đánh giá các hoạt động phát triển phần mềm an toàn của họ. Các yếu tố như lỗ hổng đã biết, tuổi phần mềm, mức độ phổ biến, thời gian trung bình để vá các sự cố, v.v., sẽ đưa ra đánh giá này.

Mỗi tổ chức sẽ cần điều chỉnh quyết định của mình dựa trên khẩu vị rủi ro của riêng mình và phân tích nói trên. Mặc dù có một số mức độ chấp nhận rủi ro tiêu chuẩn nhất định như tìm các lỗ hổng nghiêm trọng đã biết trong ứng dụng xử lý dữ liệu PII, nhưng việc tạo chính sách sử dụng OSS có nghĩa là tích hợp nó trên SDLC, từ quá trình phát triển đến CI/CD và quan trọng nhất là khi phát hành.

Trong bối cảnh hiện tại có rất nhiều nền tảng no-code và low-code, điều quan trọng là phải áp dụng các biện pháp như OSCM. Một nền tảng như AppMaster , một công cụ no-code toàn diện để tạo các ứng dụng phụ trợ, web và di động, nhắc lại tầm quan trọng của OSS và thực thi các phương tiện như OSCM để giảm thiểu rủi ro và nâng cao năng suất. Để các tổ chức khai thác triệt để sức mạnh của nguồn mở, điều quan trọng là giảm thiểu rủi ro tiềm ẩn và sự kém hiệu quả, điều mà OSCM có thể hỗ trợ đáng kể.