Những điều cần biết về bảo mật nguồn mở

Thứ năm, 12 Tháng bảy 2007, 11:11 GMT+7
  • Bạn nên vận hành tường lửa hoặc IDS (Intrusion Detection System – hệ thống phát hiện xâm nhập) của công ty mình bằng một công cụ nguồn mở hay bằng một phần mềm thương mại?

    Hãy cùng lắng nghe những lý lẽ thường được các bên đưa ra nhất trong cuộc “khẩu chiến” về bảo mật nguồn mở và xem xét liệu chúng có ý nghĩa như thế nào trong thực tế.

    Nhung dieu can biet ve bao mat nguon mo

    Các phần mềm nguồn mở - nhanh chóng, phổ biến, thực tiễn và hơn cả là chúng được dùng miễn phí. Ảnh: Karmaweb.

    Nghiên cứu nhiều hơn đồng nghĩa với an toàn hơn?

    Một trong số những lý lẽ được viện dẫn nhiều nhất khi đánh giá tính bảo mật tương đối của các phần mềm nguồn mở là “để mắt nhiều hơn tới mã nguồn đồng nghĩa với việc giảm thiểu các vấn đề về bảo mật.”

    Nói cách khác, việc nghiên cứu mã nguồn cơ sở kỹ lưỡng hơn ở các khâu thử nghiệm, đánh giá, kiểm định và sửa lỗi sẽ trực tiếp tạo ra những phần mềm ngày càng mạnh. Điều này đương nhiên đúng. Tuy nhiên, ý kiến cho rằng các dự án nguồn mở thường an toàn hơn vì mã nguồn sẵn có (và vì thế sẽ được nghiên cứu nhiều hơn) vẫn còn rất mập mờ.

    Hãy đối diện với thực tế rằng không phải các phần mềm đều được tạo ra như nhau. Một số nhà phát triển phần mềm rất chuyên tâm đến quá trình thử nghiệm và kiểm định trong khi số khác thì không.

    Trong khi các ứng dụng nguồn mở được sử dụng nhiều và thường xuyên được “bảo trì” như Apache và OpenSHH có thể được nghiên cứu rất nhiều (cả từ phía cộng đồng và các cá nhân), thì các ứng dụng ít tiếng tăm hơn hoặc các ứng dụng không được bảo trì thường xuyên lại không có được “đặc ân” đó.

    Hãy nhớ rằng, mã nguồn của một phần mềm nhất định được công bố rộng rãi không nhất thiết có nghĩa là tất cả mọi người sẽ đều để mắt đến nó. Vì lẽ đó, các đại lý phần mềm thương mại cũng rất khác nhau – một số rất quan tâm đến việc mã nguồn của họ phải được thử nghiệm và kiểm định kỹ lưỡng trong khi số khác lại ít quan tâm hơn.

    Một số đại lý sẵn sàng cung cấp mã nguồn cho những người sử dụng nhất định (ví dụ như những khách hàng mua với số lượng lớn) hoặc cho cộng đồng nói chung, miễn là việc bảo hộ sở hữu trí tuệ của họ phải được đảm bảo.

    Hỗ trợ và trách nhiệm đồng nghĩa với an toàn?

    Những người ủng hộ bảo mật phần mềm thương mại thường cho rằng mối quan hệ hợp đồng giữa đại lý và người mua trong các thỏa thuận cấp phép sử dụng phần mềm thương mại sẽ quy định một mức độ trách nhiệm mà trong nguồn mở không có.

    Theo đó, nếu một lỗi bảo mật được phát hiện hoặc nếu sản phẩm không hoạt động như đã quảng cáo thì một bên (đại lý) có thể sẽ phải chịu trách nhiệm sửa chữa, cập nhật sản phẩm hoặc cung cấp những hỗ trợ đầy đủ để sản phẩm (hoặc tính năng của sản phẩm) hoạt động tốt.

    Lý lẽ được đưa ra ở đây là các phần mềm nguồn mở không có những mối quan hệ như vậy và vì thế sẽ kém an toàn hơn các phẩn mềm thương mại ở một mức độ nào đó.

    Lý lẽ này có ý nghĩa thế nào trong thực tế còn tùy thuộc. Vì không phải tất cả phần mềm và các hỗ trợ đều được tạo ra giống nhau. Trong một số trường hợp, chính các nhà phát triển nguồn mở cung cấp hỗ trợ đối với các dự án mà người sử dụng cần, nhưng cũng có trường hợp mà một bên thứ ba độc lập cung cấp hỗ trợ dành cho công cụ nguồn mở.


    Ngoài ra, nhiều sản phẩm nguồn mở rất nhiệt tình đưa ra giải đáp đối với những vấn đề được hỏi thông qua các lưu trữ danh sách thư tín và các website cơ sở kiến thức.

    Việc có được giải đáp đối với những vấn đề được hỏi hay không còn tùy thuộc vào dự án nguồn mở cụ thể được cân nhắc – các dự án lớn thường dễ dàng đưa ra được giải đáp đối với những câu hỏi có liên quan.

    Tương tự, các đại lý cung cấp các mức độ hỗ trợ khác nhau. Yêu cầu cụ thể của bạn có nhận được sự chú ý hay không sẽ phụ thuộc vào loại quan hệ hỗ trợ có trong hợp đồng và các chính sách hỗ trợ cụ thể của đại lý đó. Đừng quên rằng: bạn trả tiển để có được hỗ trợ không có nghĩa là bạn sẽ có được hỗ trợ tốt và các hỗ trợ miễn phí cũng không có nghĩa là chúng không tốt.

    Nhiều cập nhật hơn đồng nghĩa với an toàn hơn?

    “Phát hành sớm và thường xuyên” là phương thức được nhiều dự án nguồn mở áp dụng. Đối với nhiều dự án nguồn mở, việc các bản sửa lỗi bảo mật cần được cung cấp cho người sử dụng phần mềm ngay tức thì để các nhà quản lý có thể nhanh chóng xử lý các vấn đề tiềm ẩn từ lâu đã được coi như một triết lý nằm lòng.

    Theo quan điểm này, các nhà quản lý sẽ được thông báo càng sớm càng tốt về các vấn đề bảo mật và được cung cấp một giải pháp hoặc một bản vá lỗi mà họ có thể ngay lập tức ứng dụng để đảm bảo rằng hệ thống của họ vẫn được an toàn – hoặc ít nhất họ có thể biết rõ về vấn đề để có thể kiểm soát, đề phòng tin tặc lợi dụng.

    Ngược lại, nhiều đại lý phần mềm thương mại đưa ra các bản vá lỗi theo một kế hoạch được định trước, ví dụ theo từng tháng hoặc từng quý.

    Triết lý của họ là giữ các vấn đề về bảo mật càng bí mật càng tốt, cho tới khi bản sửa lỗi đã sẵn sàng, khi đó, bằng cách phát hành bản khắc phục theo một thời gian biều định trước, các nhà quản lý có thể lập kế hoạch, thử nghiệm, và bố trí các bản khắc phục đó một cách có kiểm soát để có thể giảm thiểu tối đa ảnh hưởng đối với quá trình hoạt động của sản phẩm.

    Cả hai triết lý này đều có chung một mục đích. Cả “phát hành sớm và thường xuyên” và phát hành theo thời gian biều đều nhằm mục đích giúp cho nhà quản lý bố trí các bản vá lỗi, các bản khắc phục một cách dễ dàng.

    Vậy thì phương pháp nào tốt hơn hoặc an toàn hơn? Điều này phụ thuộc vào các đặc thù của môi trường. Cơ quan của bạn có phải là môi trường làm việc với các quản lý có khả năng phản ứng nhanh đối với các thay đổi liên quan đến bảo mật, hay là nơi không yêu cầu nhiều quá trình lập kế hoạch và phân bổ nguồn lực đối với các thay đổi liên quan đến sản phẩm…?

    Vậy phần mềm nguồn mở hay phần mềm thương mại an toàn hơn?

    Câu trả lời phụ thuộc vào công việc kinh doanh của bạn cũng như các sản phẩm cụ thể. Cũng giống như khi hỏi “liệu ô tô của Ford có nhanh hơn ô tô của GM?”, câu trả lời sẽ phụ thuộc vào Ford và GM. Không một loại sản phẩm phần mềm nào có thể đáp ứng được nhu cầu của tất cả mọi nguời, một sản phẩm tốt hơn dành cho người khác chưa chắc đã tốt hơn đối với bạn.

    Nguyễn Nam (Theo TechNewsWorld)

    Việt Báo
    Ý kiến bạn đọc

    Viết phản hồi

    Nhận xét tin Những điều cần biết về bảo mật nguồn mở

    Bạn có thể gửi nhận xét, góp ý hay liên hệ về bài viết Những điều cần biết về bảo mật nguồn mở bằng cách gửi thư điện tử tới vietbao.vn. Xin bao gồm tên bài viết Nhung dieu can biet ve bao mat nguon mo ở dạng tiếng Việt không dấu. Hoặc Những điều cần biết về bảo mật nguồn mở ở dạng có dấu. Bài viết trong chuyên đề Tin Tổng Hợp của chuyên mục Công Nghệ.

    Bài viết mới:

    Các bài viết khác:

       TIẾP THEO >>
    VIỆT BÁO - CÔNG NGHỆ - TIN TỔNG HỢP