Đây là một trong những lý do giúp Linux an toàn hơn các nền tảng hệ điều hành khác

Tuy không phải là hệ điều hành được sử dụng phổ biến nhất thế giới, hay được biết đến rộng rãi như các đối thủ. Nhưng có lẽ không quá khi nói rằng Linux hiện là nền tảng an toàn hơn rất nhiều so với Microsoft Windows và Apple macOS, ít nhất là theo một báo cáo mới được công bố bởi tổ chức bảo mật Google Project Zero.

Tuy vậy, Linux được giới chuyên gia đánh giá cao ở khía cạnh bảo mật không phải vì hệ điều hành này vốn đã an toàn. Lý do chủ yếu nằm ở sự nhiệt huyết và tinh thần làm việc nghiêm túc của cộng đồng các nhà phát triển đang duy trì nền tảng này, đặc biệt là ở khía cạnh khắc phục các lỗ hổng được báo cáo trên nền tảng.

Đã có khá nhiều báo cáo về các lỗi và lỗ hổng bảo mật trong Linux được ghi nhận. Tuy nhiên, điều đó không có nghĩa là nền tảng hệ điều hành này không an toàn cho việc sử dụng hàng ngày. Kết quả nghiên cứu mới nhất từ Project Zero cho thấy các nhà phát triển Linux đang thực hiện công việc sửa lỗi bảo mật nhanh hơn nền tảng khác, đến mức ngay cả giới chuyên gia cũng phải ngạc nhiên.

Báo cáo thống kê thường niên cho giai đoạn từ tháng 1 năm 2019 đến tháng 12 năm 2021 của Project Zero cho thấy khoảng thời gian trung bình mà các nhà cung cấp phần mềm cần để phát hành các bản vá lỗi bảo mật là 52 ngày. Tuy nhiên, các lập trình viên nguồn mở chỉ mất khoảng 25 ngày để khắc phục xong một sự cố zero-day được Project Zero phát hiện và báo cáo - tức là nhanh gấp đôi so với mức trung bình. Ngoài ra, các nhà phát triển Linux cũng cần ít thời gian hơn để vá các lỗi bảo mật. Trở lại năm 2019, các lập trình viên Linux thường mất khoảng 1 tháng để sửa lỗi, giờ đây họ làm điều đó trong vòng 2 tuần.

Làm một vài so sánh đơn giản. Apple mất khoảng 69 ngày, Google mất 44 ngày và Mozilla sửa lỗi trong khoảng 46 ngày. Windows hiện là hệ điều hành máy tính phổ biến nhất thế giới, nhưng Microsoft cũng phải cần tới gần ba tháng để vá xong một lỗi bảo mật được báo cáo.

Lỗ hổng zero-day là các vấn đề bảo mật mà nhà phát triển phần mềm chưa biết vào thời điểm họ phát hiện ra, hoặc đã biết nhưng chưa được vá. Nhìn chung đây đều là những lỗ hổng có mức độ nghiêm trọng cao, nếu không được khắc phục kịp thời có thể bị tin tặc lợi dụng và triển khai các hoạt động độc hại gây thiệt hại lớn. Do đó, thời gian phá lỗi càng ngắn sẽ càng có ý nghĩa quan trọng đối với tính bảo mật chung của nền tảng. Ngoài ra, thời gian phản hồi và phát hành bản vá càng ngắn càng chứng tỏ lỗ hổng nhận được nhiều sự quan tâm của nhà cung cấp dịch vụ, từ đó góp phần hạn chế rủi ro cho cả người dùng. Ở những khía cạnh này, có thể nói các nhà phát triển Linux đã và đang làm rất tốt.

Google Project Zero là một trong những tổ chức bảo mật được đánh giá rất cao về mặt chuyên môn hiện nay. Khi phát hiện ra lỗ hổng, nhóm sẽ cho các nhà phát triển 90 ngày để khắc phục các sự cố bảo mật, trước khi công bố toàn bộ thông tin liên quan. Những phát hiện của Project Zero không chỉ có ý nghĩa quan trọng đối với chính sản phẩm của Google, mà còn có thể góp phần “cứu sống” nhiều tổ chức, doanh nghiệp lớn trước nguy cơ về một thảm họa an ninh mạng.