Nguồn mở chứa nhiều lỗ hổng bảo mật

Theo Bộ An ninh Nội địa Mỹ, mã nguồn mở luôn có xu hướng cứ mỗi 1000 dòng code lại có một lỗi nghiêm trọng, qua đó cho phép tin tặc khai thác hệ thống.

Tuyên bố trên được đưa ra trong một dự án đánh giá mức độ an toàn của nguồn mở do Bộ An ninh Nội địa Mỹ tiến hành. Theo đó các dự án nguồn mở thông dụng như Samba, PHP, Perl và Tcl có phần ngôn ngữ động được sử dụng cho tất cả các website hiện nay; và Amanda, một phần mềm backup và khôi phục dữ liệu nguồn mở chạy trên một nửa máy chủ toàn thế giới hiện nay, đều bị phát hiện có chứa hàng chục hoặc hàng trăm lỗ hổng bảo mật chết người.

Tổng cộng 7.826 sai sót bảo mật nguồn mở đã được Bộ trên khắc phục. Tính trung bình cứ hai giờ Bộ này lại khắc phục một lỗ hổng kể từ khi dự án đánh giá nguồn mở này thực hiện.

Theo Maxwell, chuyên gia hoạch định chiến lược nguồn mở của Coverity, hãng sản xuất hệ thống kiểm tra nguồn mở - Prevent Software Quality System cho biết, cùng với Bộ An ninh Nội địa Mỹ, các dự án như Samba cũng tự khắc phục các lỗ hổng được phát hiện. Đã có 236 sai sót bảo mật được Samba phát hiện, ít hơn nhiều nếu so với tỉ lệ 450.000 dòng code của ứng dụng này. Trong số 236 sai sót đã có 228 lỗi bảo mật được khắc phục.

Tháng 3/2006, Bộ An ninh Nội địa Mỹ đã trao cho Coverity 300.000USD để hãng này đánh giá phần code của 180 dự án nguồn mở thường được các nhà phát triển web và ứng dụng cho chính phủ sử dụng.

Ngoài Samba, Linux cũng có tỉ lệ lỗi ít hơn so với các dự án nguồn mở khác. Phiên bản Linux kernel 2.6 có tỉ lệ 0,127 lỗi trên 1000 dòng code. Kernel này có tổng cộng 3.639.322 dòng code; và đã có 462 lỗi được phát hiện. Trong số này có 413 lỗi được xác nhận và sửa chữa, 48 lỗi được xác nhận nhưng chưa được sửa chữa.

Trong khi đó, FreeBSD (đôi khi được coi là sự thay thế cho Linux) lại có mức độ sửa chữa thấp nhất. Trong tổng số 1.582.166 dòng code, FreeBSD chưa sửa chữa được một lỗi nào, chỉ xác nhận được 6 lỗi.

Máy chủ Web Apache có 135.916 dòng code, với tỉ lệ mắc lỗi là 0,14 bug trên mỗi 1000 dòng code. Có ba lỗi được sửa; 7 lỗi được xác nhận nhưng chưa sửa; và 12 lỗi vẫn còn trong quá trình xác nhận và sửa chữa.

Hệ thống cơ sở dữ liệu PostgreSQL có 909.148 dòng code với tỉ lệ mắc lỗi 0,041. 53 lỗi được sửa chữa; không lỗi nào được xác nhận và chưa được sửa chữa; 37 lỗi vẫn còn đang được xác nhận và sửa chữa.

Gnu C Library có 83 lỗi đã được sửa chữa, và không có lỗi nào chưa được sửa. Thư viện này được nhiều nhà lập trình nguồn mở sử dụng khi làm việc với Linux. Gnu C Library (588.931 dòng code) là một trong số ít các dự án nguồn mở có mức độ mắc lỗi gần như bằng không.

Giao diện người dùng Linux cũng được đưa vào đánh giá. Cụ thể giao diện KDE chứa 4.712.273 dòng code; có 1.554 lỗi được phát hiện; 25 lỗi được xác nhận và 65 lỗi chưa xác nhận. Gnome có 430.809 dòng code; 357 lỗi được sửa; 5 được xác nhận và 214 lỗi chưa được xác nhận.

OpenVPN, ứng dụng kết nối an toàn với mạng văn phòng trung tâm, cũng xác nhận một lỗi trong tổng số 69.223 dòng code nhưng vẫn chưa được sửa chữa.

OpenSSL, form nguồn mở của Secure Sockets Layer, đã sửa 24 lỗi; xác nhận 1 và 24 lỗi chưa xác nhận trong tổng số 221.194 dòng code.

Văn Hân