81% cơ sở mã chứa các lỗ hổng mã nguồn mở đã biết

Hạnh Tâm | 20/04/2022 15:23
Theo dõi ICTVietnam trên

85% trong số 2.097 cơ sở mã (codebase) chứa mã nguồn mở đã lỗi thời hơn 4 năm; 88% sử dụng các thành phần không phải là phiên bản mới nhất hiện có; 5% chứa phiên bản Log4j có lỗ hổng.

Mới đây, Trung tâm Nghiên cứu An ninh mạng Synopsys đã công bố một báo cáo kiểm tra hơn 2.400 cơ sở mã từ các giao dịch mua bán và sáp nhập, nêu bật các xu hướng sử dụng mã nguồn mở trong các ứng dụng thương mại và cá nhân, đồng thời cung cấp thông tin chi tiết để giúp các nhà phát triển hiểu rõ hơn về hệ sinh thái phần mềm.

81% cơ sở mã chứa các lỗ hổng mã nguồn mở đã biết - Ảnh 1.

Báo cáo cũng chỉ rõ những rủi ro phổ biến từ nguồn mở không được quản lý gây ra, bao gồm các lỗ hổng bảo mật, các thành phần lỗi thời hoặc hết vòng đời sử dụng và các vấn đề về tuân thủ giấy phép.

Báo cáo cho thấy một thực tế rằng mã nguồn mở được sử dụng ở mọi nơi, trong mọi ngành và là nền tảng của mọi ứng dụng được xây dựng ngày nay.

Mã nguồn mở lỗi thời vẫn còn được sử dụng như một tiêu chuẩn, bao gồm cả các phiên bản Log4j chứa lỗ hổng. Từ góc độ rủi ro hoạt động hoặc bảo trì, có đến 85% trong số 2.097 codebase chứa mã nguồn mở đã lỗi thời hơn 4 năm; 88% sử dụng các thành phần không phải là phiên bản mới nhất hiện có; 5% chứa phiên bản Log4j có lỗ hổng.

Việc đánh giá các codebase cho thấy, về tổng thể những lỗ hổng mã nguồn mở đang giảm dần. 2.097 codebase đã được đánh cả về rủi ro hoạt động và bảo mật, số lượng codebase có các lỗ hổng mã nguồn mở rủi ro cao đã giảm đáng kể. Theo báo cáo năm nay, 49% codebase chứa ít nhất một lỗ hổng bảo mật rủi ro cao (năm ngoái là 60%). 81% codebase chứa ít nhất một lỗ hổng mã nguồn mở đã biết, giảm ít nhất 3% so với kết quả của OSSRA năm 2021.

Xung đột giấy phép nói chung cũng đang giảm. Hơn một nửa (53%) codebase có xung đột giấy phép, giảm đáng kể so với mức 65% năm 2020. Nhìn chung, xung đột giấy phép cụ thể đã giảm trên diện rộng từ năm 2020 đến năm 2021.

20% codebase đã sử dụng mã nguồn mở không có giấy phép hoặc giấy phép tùy chỉnh, dẫn tới những rủi ro về vấn đề pháp lý.

Tim Mackey, trưởng bộ phận bảo mật cho biết chiến lược của Synopsys cho biết: "Những người dùng phần mềm xác thực khách hàng mạnh tập trung vào việc giảm thiểu các vấn đề về giấy phép nguồn mở, giải quyết các lỗ hổng có rủi ro cao và nỗ lực đó được phản ánh qua sự giảm sút về xung đột giấy phép và các lỗ hổng có nguy cơ cao trong năm nay. Tuy nhiên, thực tế là hơn một nửa số codebase chúng tôi đã kiểm tra vẫn chứa xung đột giấy phép và gần một nửa vẫn chứa các lỗ hổng có nguy cơ cao. Rắc rối hơn nữa là 88% codebase không sử dụng các phiên bản cập nhật hoặc bản vá mới của các thành phần mã nguồn mở ".

Theo Mackey, có nhiều lý do chính đáng cho việc không cập nhật phần mềm. Tuy nhiên, các tổ chức cần phải có đánh giá chính xác và cập nhật nguồn mở được sử dụng trong mã của mình, nếu không lỗ hổng có thể bị khai thác và đem lại rủi ro cao./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
81% cơ sở mã chứa các lỗ hổng mã nguồn mở đã biết
POWERED BY ONECMS - A PRODUCT OF NEKO