Nhận định về an toàn thông tin trong các ứng dụng phần mềm: ưu tiên cộng đồng trước, công nghệ sau

11/08/2015 | 00:00
Cỡ chữ Aa- Aa+

Mã nguồn yếu là điểm mấu chốt gây mất an ninh an toàn cho phần mềm, xảy ra cả với các phần mềm nguồn mở và phần mềm sở hữu độc quyền. Theo Website của Bộ Quốc phòng Mỹ, trung bình để khắc phục một lỗi phần mềm, Mozzilla cần 37 ngày, Microsoft cần đến 134,5 ngày.

Cũng theo quan điểm của Bộ này, phát triển công nghệ mở để thành công cần phải ưu tiên cộng đồng trước, công nghệ sau, mặc định là mở, chỉ đóng khi cần. Trong công nghệ thông tin, mỗi chương trình không có gì đặc biệt, mặc dù lĩnh vực quân sự có những nhu cầu và khả năng chiến đấu hết sức đặc thù. Các Chính phủ có quyền trí tuệ không hạn chế đối với mã nguồn của các phần mềm và hệ thống được sử dụng trong Chính phủ. Điều này không đồng nghĩa với việc mọi cơ quan đều đòi mã nguồn trong các hợp đồng, mà nên xây dựng cổng chung chia sẻ, quản lý các dự án phần mềm nguồn mở với tất cả các thông tin liên quan cho các cơ quan. Vì vậy, cần thiết phải hiểu rõ về các giấy phép của các phần mềm này.

Một trong những triết lý quan trọng trong phát triển phần mềm nguồn mở là: "Nhiều con mắt soi vào thì lỗi sẽ cạn" (Luật Linus). Giá trị lớn nhất của phát triển nguồn mở là cho phép truy cập từ một cộng đồng rộng lớn tới mã nguồn. Theo cách này, các lỗi sẽ ít và dễ tìm ra hơn. Truy cập rộng rãi hơn tới mã nguồn phần mềm cũng là chìa khóa hình thành và duy trì vị thế an ninh cho phần mềm. Việc này mang đến khả năng rà soát lại mã nguồn phần mềm để xem điều gì thực sự hiện diện bên trong phần mềm đó.

Tuân thủ mô hình phát triển nguồn mở là một giải pháp quan trọng, thông qua việc rà soát lại ngang hàng cả từ những người duy trì và những người sử dụng một cách liên tục, làm mã nguồn cứng cáp hơn. Bằng việc đưa ra các yêu cầu tính năng, thảo luận về kiến trúc và thiết kế, triển khai (lập trình và phát hành), các bản vá (được lập trình viên và người sử đụng đệ trình), kiểm thử các dự án để tự động hóa việc kiểm thử và kiểm tra hợp lệ, kiểm thử và tích hợp liên tục, duy trì, cộng đồng các lập trình viên và những người sử dụng tham gia vào phát triển phần mềm nguồn mở. Mô hình phát triển nguồn mở yêu cầu không đóng mã nguồn hay tạo rẽ nhánh không cần thiết gây hại cho cơ quan phát triển và các đơn vị sử dụng. Mô hình này cũng cho thấy nếu phát triển rẽ nhánh, sẽ không có đóng góp ngược lên cho cây dự án nguồn mở gốc ban đầu. Và ngược lại, nếu không đóng mã nguồn, sẽ có đóng góp trở lại cho cây dự án nguồn mở gốc. Đây là yếu tố chính giúp nâng mức độ an ninh an toàn của các ứng dụng phần mềm nguồn mở./.

Theo