Quốc phòng: Phần mềm nguồn mở là an ninh hơn mã thương mại

Defense: Open source software is more secure than commercial code

By Jill R. Aitoro 11/05/2009

Theo: http://www.nextgov.com/nextgov/ng_20091105_5058.php?oref=topstory

Bài được đưa lên Internet ngày: 05/11/2009

Lời người dịch: Biên bản chỉ dẫn của Bộ Quốc phòng Mỹ: “Biên bản này đã còn lưu ý, “khả năng không bị hạn chế để sửa đổi mà nguồn phần mềm” cho phép bộ phản ứng được nhanh hơn đối với việc thay dổi các tình huống và các mối đe dọa”. “Nếu ai đó đã thuê tôi để viết một mẩu mã nguồn theo kiểu sở hữu độc quyền, thì sau đó một tin tặc có thể chỉ phải thông minh hơn đội của tôi để tìm ra một sự yếu kém”, John Weathersby Jr., nhà sáng lập và giám đốc điều hành của Viện Phần mềm Nguồn mở. “Về lý thuyết thì trong một mô hình nguồn mở, nơi mà bất kỳ ai và mỗi người có thể xem xét lại mã nguồn, thì một tin tặc độc ác phải thông minh hơn tất cả chúng ta”. Vâng, “Phần mềm nguồn mở là an ninh hơn mã thương mại” - đây là quan điểm của Bộ Quốc phòng Mỹ, còn quan điểm của giới công nghệ thông tin Việt Nam là gì?

Xem thêm: Bộ Quốc phòng (Mỹ) chia sẻ mã nguồn mở; Bộ Quốc phòng: Quân đội cần nghĩ rắn hơn về việc sử dụng nguồn mở; Bản ghi nhớ về nguồn mở của Bộ Quốc phòng có thể thay đổi bức tranh về phần mềm; Biên bản ghi nhớ của Bộ Quốc phòng Mỹ mở cửa tới nguồn mở.

Phần mềm nguồn mở, mã chương trình sẵn sàng một cách tự do mà công chúng có thể tải về và sửa đổi được, mà nhiều cơ quan tránh vì họ xem nó như là một rủi ro về an ninh, lại thường là an ninh hơn so với các giải pháp thay thế mà chúng được phát triển một cách thương mại, một quan chức hàng đầu của Bộ Quốc phòng (Mỹ) nói hôm thứ năm.

Daniel Risacher, giám đốc các dịch vụ doanh nghiệp và tích hợp tại Văn phòng Giám đốc Thông tin của Bộ Quốc phòng, đã giúp viết một biên bản được đưa ra hôm 16/10 mà nó đã chỉ dẫn cho tất cả các cơ quan Quốc phòng đánh giá các chương trình nguồn mở ngang bằng với các phần mềm sở hữu độc quyền và chia sẻ mã nguồn mở bên trong nội bộ khi cần thiết.

Quan điểm này của bộ về nguồn mở, theo bản phác thảo ban đầu của bản ghi nhớ, là những phần mềm mà chúng đi qua một quá trình xem xét ngang hàng có xu thế tin cậy hơn và an ninh hơn so với các phần mềm mà chúng không có một mức độ xem xét lại tương tự, theo Risacher.

“Chúng ta đang cố gắng có được thông điệp rằng phần mềm nguồn mở thường là an ninh hơn”, nhưng tuyên bố này quá bao quát chung để tạo ra bản thảo cuối cùng, ông nói trong thời gian thảo luận nhóm tại Hội nghị Nguồn mở của Chính phủ tại Washington. “Tôi có thể nói được gì? Làm thế nào tôi có thể biến điều này thành một tuyên bố đúng đắn được?”

Cuối cùng, biên bản ghi nhớ cuối cùng đã nhấn mạnh tới “những khía cạnh tích cực của phần mềm nguồn mở mà nó phải được xem xét” bởi các cơ quan bộ Quốc phòng, bao gồm một quá trình liên tục và xem xét theo điểm một cách rộng rãi có thể được bằng mã nguồn sẵn sàng công khai, mà nó “hỗ trợ những nỗ lực về tính có thể tin cậy được và an ninh của phần mềm thông qua việc xác định và hạn chế các khiếm khuyết mà chúng có thể nếu không sẽ không nhận thức được bởi một đội phát triển cốt lõi rất hạn chế”.

Open source software, freely available program code that the public can download and modify, which many agencies avoid because they view it as a security risk, is often more secure than the alternatives that are commercially developed, a top Defense Department official said on Thursday.

Daniel Risacher, associate director of enterprise services and integration in Defense's Office of the Chief Information Officer, helped write a memo issued on Oct. 16 that directed all Defense agencies to evaluate open source programs on an equal basis with proprietary software and to share open source code internally when appropriate.

The department's position on open source, according to the original draft of the memo, is software that goes thorough a process of peer review tends to be more reliable and secure than software that has not had a similar level of review, according to Risacher.

"We were trying to get the message across that open source software is often more secure," but the statement was too sweeping to make the final draft, he said during a panel discussion at the Government Open Source Conference in Washington. "So what could I say? How could I make this into a true statement?"

In the end, the final memo emphasized the "positive aspects of open source software that should be considered" by Defense agencies, including a continuous and broad peer-review process enabled by publicly available source code, which "supports software reliability and security efforts through the identification and elimination of defects that might otherwise go unrecognized by a more limited core development team."

Biên bản này đã còn lưu ý, “khả năng không bị hạn chế để sửa đổi mà nguồn phần mềm” cho phép bộ phản ứng được nhanh hơn đối với việc thay dổi các tình huống và các mối đe dọa.

“Nếu ai đó đã thuê tôi để viết một mẩu mã nguồn theo kiểu sở hữu độc quyền, thì sau đó một tin tặc có thể chỉ phải thông minh hơn đội của tôi để tìm ra một sự yếu kém”, John Weathersby Jr., nhà sáng lập và giám đốc điều hành của Viện Phần mềm Nguồn mở. “Về lý thuyết thì trong một mô hình nguồn mở, nơi mà bất kỳ ai và mỗi người có thể xem xét lại mã nguồn, thì một tin tặc độc ác phải thông minh hơn tất cả chúng ta”.

Hơn nữa, nguồn mở không loại bỏ được tất cả các rủi ro của một lỗ hổng an ninh, ông nói. “Tôi không tin đây là một chủ đề trắng và đen”, Weathersby nói. “Nguồn mở đưa ra cơ hội cho một chương trình để được phát triển và duy trì theo một cách an ninh hơn, nhưng nó phụ thuộc vào chương trình đó, những người mà triển khai nó và cách nó được duy trì”.

Các công ty phần mềm sở hữu độc quyền, bao gồm cả Microsoft, đã đưa ra mã nguồn của họ cho công chúng để xem xét lại nhưng theo sự chối bỏ rằng các lập trình viên mà họ nhân bản mã nguồn để xây dựng các sản phẩm của riêng họ là vi phạm các bản quyền.

“Điều đó không tạo ra động cơ cho mọi người thực sự tới” và xem xét lại mã nguồn, vì có ít lợi ích, Risacher nói.

The memo also noted, "the unrestricted ability to modify software source code" enables the department to respond more rapidly to changing situations and threats.

"If someone hired me to write a piece of code in a proprietary fashion, then a hacker would only have to be smarter than my team to find a weakness," said John Weathersby Jr., founder and executive director of the Open Source Software Institute. "Theoretically in an open source model, where anyone and everyone can review the code, then a malicious hacker must be smarter than all of us.

Still, open source doesn't remove all the risk of a security breach, he said. "I don't believe it is a black-and-white topic," Weathersby said. "Open source provides the opportunity for a program to be developed and maintained in a more secure manner, but it is dependent on the program, the people who implement it and how it's maintained."

Proprietary software companies, including Microsoft, have released their code for the public to review but under the disclaimer that developers who replicate the code to build their own products violate copyright laws.

"That doesn't create the incentive for people to actually come in" and review the code, because there's little potential gain, Risacher said.

Vì thế, người như Daniel Walsh, kỹ sư phần mềm chính về an ninh tại nhà cung cấp phần mềm nguồn mở Red Hat, sẽ không giúp xem xét lại phần mềm thương mại. Ông nói ông sẽ không nhìn vào mã nguồn sở hữu độc quyền từ một nhà cung cấp quyến rũ vì ông sợ công ty của ông ta sẽ bị tố về vi phạm bản quyền nếu mã nguồn tương tự xuất hiện trong các sản phẩm của mình.

Trong nguồn mở, “Cộng đồng đấu tranh với mã nguồn vì chúng có một sự quan tâm bất di bất dịch trong việc liệu mã nguồn được đẩy từ người này sang người khác hoặc chứng minh mã nguồn của họ là tốt hơn”, Steve Battista, nhà khoa học hàng đầu về an ninh thông tin cho tập đoàn Mitre Corp. nói: “Có một nhóm người mà họ không tin tưởng lẫn nhau, và đó là thứ tốt lành”.

Nhưng đối với những nhà thầu của liên bang đang cố gắng thuyết phục giới quản lý rằng nguồn mở là một lựa chọn có thể trụ vững được, thì thách thức là phải vượt qua được nhận thức về độ tin cậy. “Nếu bạn đang thảo luận về một phiên bản vá tiềm năng” trong cộng đồng nguồn mở, và tính có thể bị tổn thương “gây ra những vấn đề với một khách hàng của chính phủ, thì công ty này có thể chịu trách nhiệm”, Dave Crenshaw, một người tham dự hội nghị làm việc cho một nhà thầu quốc phòng lớn, nói.

Risacher gọi một kịch bản như vậy là một cuộc điều trần đỏ. “Tôi có thể phải [các nhà thầu quốc phòng] sử dụng mã nguồn mở này mà nó được chứng minh, hoặc tôi có thể mua chúng để phát triển, mà nó sẽ đưa ra được toàn bộ đống các chỗ dễ bị tổn thương mà không ai phát hiện ra được trước đó”, ông nói. “Bạn có trách nhiệm liệu bạn viết hoặc tải về [mã nguồn], hoặc mua phần mềm sở hữu độc quyền. Nếu bạn là một nhà thầu, bạn đang ở trên một cái móc”.

So, people such as Daniel Walsh, principal software engineer for security at open source software vendor Red Hat, won't help review commercial software. He says he will not look at proprietary code from a competing vendor because he fears his company will be accused of copyright infringement if similar code appears in its products.

In open source, "The community fights over [code] because they have a vested interest in either one-upping each other or proving their code is better," said Steve Battista, lead information security scientist for Mitre Corp. "There's a group of people that mutually distrusts each other, and that's a good thing."

But for federal contractors trying to convince management that open source is a viable option, the challenge is to overcome the perception of liability. "If you're discussing a potential patch release" in the open source community, and the vulnerability "causes issues with a government customer, the company could wind up liable," said Dave Crenshaw, a conference attendee who works for a large defense contractor. "I push open source in my company all the time, but that's the challenge I always face."

Risacher calls such a scenario a red herring. "I can have [defense contractors] use this open source code that's proven, or I can pay them to redevelop it, which will introduce a whole bunch of vulnerabilities no one's discovered before," he said. "You're liable whether you write or download [code], or buy proprietary software. If you're a contractor, you're on the hook."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com