Báo cáo “Phân tích rủi ro và an ninh nguồn mở” (OSSRA) mới được Trung tâm Nghiên cứu an ninh mạng Synopsys (CyRC) công bố cho thấy ngành phần cứng máy tính và chất bán dẫn chứa nhiều lỗ hổng nguồn mở nhất, có rủi ro cao, tiếp theo là sản xuất, công nghiệp và robotics.
Trong báo cáo OSSRA năm 2024, CyRC phân tích các phát hiện ẩn danh từ hơn 1.000 cuộc kiểm tra cơ sở mã thương mại trên 17 ngành. Báo cáo cung cấp cái nhìn toàn diện về bối cảnh nguồn mở, bao gồm các xu hướng trong việc áp dụng và sử dụng phần mềm nguồn mở cũng như sự phổ biến của các lỗ hổng bảo mật cũng như các rủi ro về chất lượng mã và cấp phép phần mềm.
Trong khi các mã chứa ít nhất một lỗ hổng nguồn mở vẫn ổn định ở mức 84% qua từng năm, thì những mã chứa nhiều lỗ hổng đã phải nhận nhiều rủi ro cao vào năm 2023. Điều này có thể là do bất ổn kinh tế, sa thải nhân viên công nghệ, làm giảm số lượng nguồn lực sẵn có để vá các lỗ hổng. Theo dữ liệu, tỷ lệ mã có lỗ hổng nguồn mở rủi ro cao đã tăng từ 48% vào năm 2022 lên 74% vào năm 2023.
Jason Schmitt – Tổng Giám đốc Synopsys Software Integrity Group cho biết: “Báo cáo OSSRA năm nay cho thấy sự gia tăng đáng báo động về các lỗ hổng nguồn mở có rủi ro cao trong nhiều ngành công nghiệp quan trọng, khiến chúng có nguy cơ bị tội phạm mạng khai thác”.
Những phát hiện quan trọng khác từ báo cáo OSSRA 2024
Ngày tận thế “mã zombie”: Các tổ chức đang phụ thuộc vào các thành phần nguồn mở đã lỗi thời hoặc không hoạt động. 91% mã chứa các thành phần có từ 10 phiên bản trở lên lỗi thời và gần một nửa (49%) mã chứa các thành phần không có hoạt động phát triển trong vòng hai năm qua. Báo cáo cũng cho thấy thời gian trung bình của các lỗ hổng nguồn mở có trong các mã là trên 2,5 năm và gần 1/4 mã chứa các lỗ hổng có tuổi đời hơn 10 năm.
Các lỗ hổng mã nguồn mở có rủi ro cao lan tràn khắp các ngành quan trọng: Ngành phần cứng máy tính và chất bán dẫn chiếm tỷ lệ mã có lỗ hổng rủi ro cao nhất (88%), theo sau là sản xuất, công nghiệp và robotics với 87%. Khoảng giữa là ngành Dữ liệu lớn, AI, BI và học máy có 66% mã bị ảnh hưởng bởi các lỗ hổng có rủi ro cao. Ở cuối danh sách, ngành hàng không vũ trụ, ô tô, vận tải và hậu cần vẫn có lỗ hổng rủi ro cao ở 1/3 (33%) mã của nó.
Các thách thức về giấy phép nguồn mở: Báo cáo cho thấy hơn một nửa (53%) mã có xung đột giấy phép nguồn mở và 31% mã đang sử dụng phần mềm bảo mật không có giấy phép. Thực tế này ở ngành phần cứng máy tính và chất bán dẫn được xếp hạng cao nhất 92%, tiếp theo là sản xuất, công nghiệp và robotics ở mức 81%. Chỉ một giấy phép không tuân thủ trong phần mềm có thể dẫn đến mất tài sản trí tuệ sinh lợi, tốn thời gian khắc phục và chậm trễ trong việc đưa sản phẩm ra thị trường.
