Quốc phòng: Phần mềm nguồn mở là an ninh hơn mã thương mại

Defense:Open source software is more secure than commercial code

By JillR. Aitoro 11/05/2009

Theo:http://www.nextgov.com/nextgov/ng_20091105_5058.php?oref=topstory

Bài được đưa lênInternet ngày: 05/11/2009

Lờingười dịch: Biên bản chỉ dẫn của Bộ Quốc phòng Mỹ:“Biên bản này đã cònlưu ý, “khả năng không bị hạn chế để sửa đổi mànguồn phần mềm” cho phép bộ phản ứng được nhanhhơn đối với việc thay dổi các tình huống và các mốiđe dọa”. “Nếu ai đó đã thuê tôi để viếtmột mẩu mã nguồn theo kiểu sở hữu độc quyền, thìsau đó một tin tặc có thể chỉ phải thông minh hơn độicủa tôi để tìm ra một sự yếu kém”, John WeathersbyJr., nhà sáng lập và giám đốc điều hành của ViệnPhần mềm Nguồn mở. “Về lý thuyết thì trong một môhình nguồn mở, nơi mà bất kỳ ai và mỗi người có thểxem xét lại mã nguồn, thì một tin tặc độc ác phảithông minh hơn tất cả chúng ta”. Vâng, “Phần mềmnguồn mở là an ninh hơn mã thương mại” - đây là quanđiểm của Bộ Quốc phòng Mỹ, còn quan điểm của giớicông nghệ thông tin Việt Nam là gì?

Xemthêm: BộQuốc phòng (Mỹ) chia sẻ mã nguồn mở; BộQuốc phòng: Quân đội cần nghĩ rắn hơn về việc sửdụng nguồn mở; Bảnghi nhớ về nguồn mở của Bộ Quốc phòng có thể thayđổi bức tranh về phần mềm; Biênbản ghi nhớ của Bộ Quốc phòng Mỹ mở cửa tới nguồnmở.

Phần mềm nguồn mở,mã chương trình sẵn sàng một cách tự do mà công chúngcó thể tải về và sửa đổi được, mà nhiều cơ quantránh vì họ xem nó như là một rủi ro về an ninh, lạithường là an ninh hơn so với các giải pháp thay thế màchúng được phát triển một cách thương mại, một quanchức hàng đầu của Bộ Quốc phòng (Mỹ) nói hôm thứnăm.

Daniel Risacher, giámđốc các dịch vụ doanh nghiệp và tích hợp tại Vănphòng Giám đốc Thông tin của Bộ Quốc phòng, đã giúpviết một biên bản được đưa ra hôm 16/10 mà nó đãchỉ dẫn cho tất cả các cơ quan Quốc phòng đánh giácác chương trình nguồn mở ngang bằng với các phần mềmsở hữu độc quyền và chia sẻ mã nguồn mở bên trongnội bộ khi cần thiết.

Quan điểm này củabộ về nguồn mở, theo bản phác thảo ban đầu của bảnghi nhớ, là những phần mềm mà chúng đi qua một quátrình xem xét ngang hàng có xu thế tin cậy hơn và an ninhhơn so với các phần mềm mà chúng không có một mức độxem xét lại tương tự, theo Risacher.

“Chúng ta đang cốgắng có được thông điệp rằng phần mềm nguồn mởthường là an ninh hơn”, nhưng tuyên bố này quá bao quátchung để tạo ra bản thảo cuối cùng, ông nói trong thờigian thảo luận nhóm tại Hội nghị Nguồn mở của Chínhphủ tại Washington. “Tôi có thể nói được gì? Làm thếnào tôi có thể biến điều này thành một tuyên bố đúngđắn được?”

Cuối cùng, biên bảnghi nhớ cuối cùng đã nhấn mạnh tới “những khía cạnhtích cực của phần mềm nguồn mở mà nó phải đượcxem xét” bởi các cơ quan bộ Quốc phòng, bao gồm mộtquá trình liên tục và xem xét theo điểm một cách rộngrãi có thể được bằng mã nguồn sẵn sàng công khai, mànó “hỗ trợ những nỗ lực về tính có thể tin cậyđược và an ninh của phần mềm thông qua việc xác địnhvà hạn chế các khiếm khuyết mà chúng có thể nếukhông sẽ không nhận thức được bởi một đội pháttriển cốt lõi rất hạn chế”.

Opensource software, freely available program code that the public candownload and modify, which many agencies avoid because they view itas a security risk, is often more secure than the al-ternatives thatare commercially developed, a top Defense Department official said onThursday.

DanielRisacher, associate director of enterprise services and integrationin Defense's Office of the Chief Information Officer, helped write amemo issued onOct. 16 that directed all Defense agencies to evaluate open sourceprograms on an equal basis with proprietary software and to shareopen source code internally when appropriate.

Thedepartment's position on open source, according to the original draftof the memo, is software that goes thorough a process of peer reviewtends to be more reliable and secure than software that has not had asimilar level of review, according to Risacher.

"Wewere trying to get the message across that open source software isoften more secure," but the statement was too sweeping to makethe final draft, he said during a panel discussion at the GovernmentOpen Source Conference in Washington. "So what could I say? Howcould I make this into a true statement?"

Inthe end, the final memo emphasized the "positive aspects of opensource software that should be considered" by Defense agencies,including a continuous and broad peer-review process enabled bypublicly available source code, which "supports softwarereliability and security efforts through the identification andelimination of defects that might otherwise go unrecognized by a morelimited core development team."

Biênbản này đã còn lưu ý, “khả năng không bị hạn chếđể sửa đổi mà nguồn phần mềm” cho phép bộ phảnứng được nhanh hơn đối với việc thay dổi các tìnhhuống và các mối đe dọa.

“Nếuai đó đã thuê tôi để viết một mẩu mã nguồn theokiểu sở hữu độc quyền, thì sau đó một tin tặc cóthể chỉ phải thông minh hơn đội của tôi để tìm ramột sự yếu kém”, John Weathersby Jr., nhà sáng lập vàgiám đốc điều hành của Viện Phần mềm Nguồn mở.“Về lý thuyết thì trong một mô hình nguồn mở, nơi màbất kỳ ai và mỗi người có thể xem xét lại mã nguồn,thì một tin tặc độc ác phải thông minh hơn tất cảchúng ta”.

Hơn nữa, nguồn mởkhông loại bỏ được tất cả các rủi ro của một lỗhổng an ninh, ông nói. “Tôi không tin đây là một chủđề trắng và đen”, Weathersby nói. “Nguồn mở đưa racơ hội cho một chương trình để được phát triển vàduy trì theo một cách an ninh hơn, nhưng nó phụ thuộc vàochương trình đó, những người mà triển khai nó và cáchnó được duy trì”.

Các công ty phần mềmsở hữu độc quyền, bao gồm cả Microsoft, đã đưa ra mãnguồn của họ cho công chúng để xem xét lại nhưng theosự chối bỏ rằng các lập trình viên mà họ nhân bảnmã nguồn để xây dựng các sản phẩm của riêng họ làvi phạm các bản quyền.

“Điều đó khôngtạo ra động cơ cho mọi người thực sự tới” và xemxét lại mã nguồn, vì có ít lợi ích, Risacher nói.

Thememo also noted, "the unrestricted ability to modify softwaresource code" enables the department to respond more rapidly tochanging situations and threats.

"Ifsomeone hired me to write a piece of code in a proprietary fashion,then a hacker would only have to be smarter than my team to find aweakness," said John Weathersby Jr., founder and executivedirector of the Open Source Software Institute. "Theoreticallyin an open source model, whe-re anyone and everyone can review thecode, then a malicious hacker must be smarter than all of us.

Still,open source doesn't remove all the risk of a security breach, hesaid. "I don't believe it is a black-and-white topic,"Weathersby said. "Open source provides the opportunity for aprogram to be developed and maintained in a more secure manner, butit is dependent on the program, the people who implement it and howit's maintained."

Proprietarysoftware companies, including Microsoft, have released their code forthe public to review but under the disclaimer that developers whoreplicate the code to build their own products violate copyrightlaws.

"Thatdoesn't cre-ate the incentive for people to actually come in" andreview the code, because there's little potential gain, Risachersaid.

Vì thế, người nhưDaniel Walsh, kỹ sư phần mềm chính về an ninh tại nhàcung cấp phần mềm nguồn mở Red Hat, sẽ không giúp xemxét lại phần mềm thương mại. Ông nói ông sẽ khôngnhìn vào mã nguồn sở hữu độc quyền từ một nhà cungcấp quyến rũ vì ông sợ công ty của ông ta sẽ bị tốvề vi phạm bản quyền nếu mã nguồn tương tự xuấthiện trong các sản phẩm của mình.

Trong nguồn mở, “Cộngđồng đấu tranh với mã nguồn vì chúng có một sự quantâm bất di bất dịch trong việc liệu mã nguồn đượcđẩy từ người này sang người khác hoặc chứng minh mãnguồn của họ là tốt hơn”, Steve Battista, nhà khoa họchàng đầu về an ninh thông tin cho tập đoàn Mitre Corp.nói: “Có một nhóm người mà họ không tin tưởng lẫnnhau, và đó là thứ tốt lành”.

Nhưng đối với nhữngnhà thầu của liên bang đang cố gắng thuyết phục giớiquản lý rằng nguồn mở là một lựa chọn có thể trụvững được, thì thách thức là phải vượt qua đượcnhận thức về độ tin cậy. “Nếu bạn đang thảo luậnvề một phiên bản vá tiềm năng” trong cộng đồngnguồn mở, và tính có thể bị tổn thương “gây ranhững vấn đề với một khách hàng của chính phủ, thìcông ty này có thể chịu trách nhiệm”, Dave Crenshaw, mộtngười tham dự hội nghị làm việc cho một nhà thầuquốc phòng lớn, nói.

Risacher gọi một kịchbản như vậy là một cuộc điều trần đỏ. “Tôi cóthể phải [các nhà thầu quốc phòng] sử dụng mã nguồnmở này mà nó được chứng minh, hoặc tôi có thể muachúng để phát triển, mà nó sẽ đưa ra được toàn bộđống các chỗ dễ bị tổn thương mà không ai phát hiệnra được trước đó”, ông nói. “Bạn có trách nhiệmliệu bạn viết hoặc tải về [mã nguồn], hoặc mua phầnmềm sở hữu độc quyền. Nếu bạn là một nhà thầu,bạn đang ở trên một cái móc”.

So,people such as Daniel Walsh, principal software engineer for securityat open source software vendor Red Hat, won't help review commercialsoftware. He says he will not look at proprietary code f-rom acompeting vendor because he fears his company will be accused ofcopyright infringement if similar code appears in its products.

Inopen source, "The community fights over [code] because they havea vested interest in either one-upping each other or proving theircode is better," said Steve Battista, lead information securityscientist for Mitre Corp. "There's a group of people thatmutually distrusts each other, and that's a good thing."

Butfor federal contractors trying to convince management that opensource is a viable option, the challenge is to overcome theperception of liability. "If you're discussing a potential patchrelease" in the open source community, and the vulnerability"causes issues with a government customer, the company couldwind up liable," said Dave Crenshaw, a conference attendee whoworks for a large defense contractor. "I push open source in mycompany all the time, but that's the challenge I always face."

Risachercalls such a scenario a red herring. "I can have [defensecontractors] use this open source code that's proven, or I can paythem to redevelop it, which will introduce a whole bunch ofvulnerabilities no one's discovered before," he said. "You'reliable whether you write or download [code], or buy proprietarysoftware. If you're a contractor, you're on the hook."

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com