Rủi ro bảo mật mã nguồn mở đang trở thành mối quan tâm hàng đầu đối với các tổ chức phát triển phần mềm, đặc biệt trong bối cảnh mã nguồn mở được sử dụng rộng rãi nhưng lại thiếu sự quản lý phù hợp. Dựa trên dữ liệu từ gần 1.000 cuộc kiểm toán ứng dụng thương mại do Black Duck thực hiện, báo cáo “Phân tích Rủi ro và Bảo mật Mã nguồn mở 2025” (OSSRA) chỉ ra rằng phần mềm mã nguồn mở hiện diện gần như ở mọi nơi – nhưng đi kèm là những rủi ro nghiêm trọng nếu không được kiểm soát chặt chẽ.
Xu hướng và rủi ro bảo mật mã nguồn mở
1. Mã nguồn mở đang bùng nổ, nhưng tiềm ẩn nhiều rủi ro
Mã nguồn mở gần như xuất hiện trong mọi ứng dụng thương mại, với 97% số ứng dụng được đánh giá chứa ít nhất một thành phần mã nguồn mở. Phần lớn các thành phần này được tải về từ các kho lưu trữ quản lý gói. Đặc biệt là npm, một kho dữ liệu khổng lồ chứa hàng triệu gói JavaScript.
Điều này có thể gây ra các vấn đề nghiêm trọng trong việc theo dõi và kiểm soát. Báo cáo nhận định: “Việc tìm kiếm tất cả các phụ thuộc gián tiếp chẳng khác nào mò kim đáy bể, nếu bạn không có một danh mục cập nhật đầy đủ các mã của bên thứ ba.”
97% mã nguồn kiểm tra có chứa mã nguồn mở
2.Lỗ hổng từ mã nguồn mở đang bị khai thác thực tế
Với những lợi ích như rút ngắn thời gian đưa sản phẩm ra thị trường, tiết kiệm chi phí và đẩy nhanh quá trình phát triển. Không ngạc nhiên khi các doanh nghiệp ngày càng phụ thuộc nhiều vào thành phần mã nguồn mở trong quy trình phát triển phần mềm. Tuy nhiên, việc mỗi ứng dụng chứa một lượng lớn các thành phần mã nguồn mở riêng lẻ khiến công tác giám sát trở thành thách thức lớn.
Báo cáo cho thấy có tới 86% ứng dụng được kiểm toán chứa các lỗ hổng bảo mật từ mã nguồn mở. Trong đó 81% chứa các lỗ hổng ở mức độ rủi ro cao hoặc nghiêm trọng. Các lỗ hổng nghiêm trọng phổ biến nhất được tìm thấy chủ yếu liên quan tới các thành phần jQuery. Cụ thể hơn, 8 trên 10 lỗ hổng bảo mật rủi ro cao phổ biến nhất nằm trong jQuery. Báo cáo cũng chỉ ra những lỗ hổng này xuất hiện trên các phiên bản jQuery đã lỗi thời và đã có sẵn các bản vá. Lỗ hổng phổ biến nhất được xác định (CVE-2020-11023) liên quan đến jQuery đã được liệt kê trong danh mục các lỗ hổng đã biết và đang bị khai thác của CISA. Qua đó cho thấy lỗ hổng này đang được khai thác thực tế.
Các lỗ hổng phổ biến và khuyến nghị phòng tránh
Nhiều lỗ hổng hàng đầu được xác định trong báo cáo OSSRA 2025 liên quan đến tấn công Cross-site scripting (XSS). Một số lượng lớn khác cũng xuất phát từ việc kiểm tra không đầy đủ đầu vào của người dùng. Báo cáo khuyến nghị các nhà phát triển phần mềm ưu tiên triển khai các kỹ thuật xác thực và làm sạch dữ liệu đầu vào để phòng chống tấn công XSS và các cuộc tấn công dạng injection khác.
Báo cáo nhấn mạnh: “Việc sử dụng các công cụ phân tích bảo mật như Coverity® Static Analysis và Continuous Dynamic™ để phát hiện sớm các lỗ hổng xuất phát từ việc kiểm tra không đầy đủ dữ liệu đầu vào của người dùng. Chẳng hạn như dữ liệu nhập vào từ biểu mẫu hoặc các tham số API, có thể giúp đảm bảo chỉ chấp nhận các định dạng và giá trị đầu vào mong muốn. Qua đó, có thể hạn chế rủi ro từ các cuộc tấn công như SQL injection, cross-site scripting và các hình thức injection khác.”
3. Thách thức trong tuân thủ và giấy phép
Báo cáo phân tích rủi ro bảo mật mã nguồn mở cho thấy xung đột giấy phép là vấn đề phổ biến, ảnh hưởng đến hơn một nửa số ứng dụng được kiểm toán. Cụ thể, 56% ứng dụng chứa xung đột giấy phép, và 33% chứa các thành phần mã nguồn mở không có giấy phép hoặc sử dụng giấy phép tùy chỉnh. Các phụ thuộc gián tiếp cũng góp phần đáng kể vào những xung đột này. Theo OSSRA 2025: “Gần 30% các xung đột giấy phép được phát hiện xuất phát từ các phụ thuộc gián tiếp.”
Báo cáo cũng lưu ý rằng tình trạng các nhà phát triển công bố mã mà không đưa ra điều khoản giấy phép cụ thể là điều khá phổ biến. Bên cạnh đó, việc sử dụng các công cụ lập trình hỗ trợ bởi AI cũng dẫn tới tình trạng mã nguồn được thêm vào ứng dụng mà không có trích dẫn rõ ràng.
56% mã nguồn có xung đột giấy phép
4. Rủi ro bảo mật mã nguồn mở trong bảo trì và vận hành
Theo báo cáo Census II về Phần mềm tự do và Mã nguồn mở của Linux Foundation, phần mềm nguồn mở phổ biến hiện nay chủ yếu được phát triển và duy trì bởi một số ít người đóng góp. Số lượng những người đảm nhận việc cập nhật, bao gồm cập nhật liên quan đến bảo mật và độ ổn định, đang giảm dần theo thời gian trên hầu hết các dự án.
Kết quả cho thấy 91% các ứng dụng được kiểm toán chứa các thành phần mã nguồn mở đã lỗi thời. Thậm chí, 90% ứng dụng chứa những thành phần mã nguồn mở đã lỗi thời, cách biệt đến hơn 10 phiên bản so với phiên bản mới nhất.
5. Tầm quan trọng của SBOM
Báo cáo nhấn mạnh rằng SBOM là yếu tố then chốt để đạt được khả năng quan sát mã nguồn và quản lý rủi ro phần mềm. SBOM ngày càng trở thành một yêu cầu trong hợp đồng với các nhà cung cấp, đồng thời giúp quản lý rủi ro, quản lý lỗ hổng bảo mật, đảm bảo tuân thủ giấy phép và cải thiện chất lượng phần mềm.
6. Thông tin theo ngành nghề
Các thành phần và thư viện mã nguồn mở đóng vai trò xương sống của hầu hết các ứng dụng trong mọi lĩnh vực. Tỷ lệ sử dụng mã nguồn mở theo từng ngành dao động từ mức cao nhất 100% tới mức thấp nhất là 79%. Các lĩnh vực có tỷ lệ lỗ hổng bảo mật cao nhất bao gồm ứng dụng Internet và di động, công nghệ tiếp thị, và phần cứng máy tính/bán dẫn. Trong khi đó, các ngành gặp nhiều xung đột giấy phép nhất là Dữ liệu lớn (Big Data), Trí tuệ nhân tạo (AI), Công nghệ giáo dục (EdTech), và Dịch vụ tài chính.
Đọc thêm: Giải pháp bảo mật thiết bị y tế: Bảo vệ bệnh nhân & Tuân thủ quy định
Các khuyến nghị chính từ báo cáo phân tích rủi ro bảo mật mã nguồn mở – OSSRA 2025
Thực hiện các thực hành quản lý mã nguồn mở hiệu quả là điều cần thiết để đảm bảo cả tuân thủ và bảo mật cho các ứng dụng phần mềm. Báo cáo OSSRA đưa ra một số chiến lược quan trọng nhằm hỗ trợ tổ chức của bạn điều hướng trong sự phức tạp của phần mềm mã nguồn mở:
- Triển khai công cụ phân tích thành phần phần mềm (SCA) để tạo SBOM và xác định lỗ hổng cũng như giấy phép mã nguồn mở.
- Ưu tiên quản lý rủi ro, tập trung vào các vấn đề có thể ảnh hưởng lớn tới doanh nghiệp.
- Thường xuyên cập nhật phần mềm mã nguồn mở, vá lỗ hổng kịp thời.
- Thiết lập các quy trình lập trình an toàn, đặc biệt là xác thực và làm sạch đầu vào của người dùng.
- Theo dõi tình trạng bảo trì các thành phần mã nguồn mở để đảm bảo sử dụng các dự án còn được hỗ trợ tốt.
- Tạo và yêu cầu sử dụng SBOM để quản lý thông tin chi tiết về các thành phần, giấy phép, phiên bản trong mọi phần mềm tổ chức sử dụng, bất kể do tự phát triển hay bên thứ ba cung cấp.
- Tích hợp hoạt động quản lý mã nguồn mở vào quy trình phát triển phần mềm tiêu chuẩn của tổ chức.
Xem thêm: Mã nguồn mở: Tiện ích hay rủi ro bảo mật tiềm ẩn?
Kết luận
Báo cáo Phân tích rủi ro và Bảo mật Mã nguồn mở 2025 nhấn mạnh rằng việc sử dụng mã nguồn mở đòi hỏi quản lý chủ động, toàn diện và liên tục. Các tổ chức cần phải có khả năng theo dõi chuỗi cung ứng phần mềm, bảo vệ mã nguồn. Đồng thời, cần chủ động quản lý giấy phép và duy trì phần mềm luôn được cập nhật để tránh những vấn đề tiềm tàng về bảo mật, hoạt động và pháp lý. Việc bỏ qua quản lý rủi ro không còn là một lựa chọn khả thi. Các tổ chức cần chắc chắn rằng họ hiểu rõ mọi thứ có trong mã nguồn của mình.
Tải ngay Báo cáo Phân tích rủi ro và Bảo mật Mã nguồn mở 2025 đầy đủ để bắt đầu quản lý hiệu quả rủi ro bảo mật mã nguồn mở: Tại đây
