Black Duck vừa công bố Báo cáo thường niên “Open Source Security and Risk Analysis” (OSSRA) 2025, phân tích hơn 950 codebase thuộc 16 ngành công nghiệp. Báo cáo chỉ ra thực trạng lỗ hổng bảo mật và rủi ro giấy phép phần mềm mã nguồn mở đang gia tăng đáng kể, đặt ra nhiều thách thức cho chuỗi cung ứng phần mềm.
Nội dung chính của Báo cáo OSSRA 2025
Báo cáo OSSRA là nguồn tài liệu tham khảo quan trọng cho đội ngũ an ninh mạng, pháp lý, phát triển phần mềm và quản trị rủi ro. Các nội dung nổi bật gồm:
1. Lỗ hổng bảo mật phổ biến trong phần mềm mã nguồn mở
-
Lỗ hổng zero-day chưa được vá.
-
Thành phần phụ thuộc lỗi thời, không còn được bảo trì.
-
Cấu hình sai gây nguy cơ khai thác.
2. Thách thức về giấy phép và tuân thủ
-
Vi phạm điều khoản giấy phép open source.
-
Rủi ro pháp lý khi sử dụng thành phần không rõ nguồn gốc.
3. Khuyến nghị bảo vệ chuỗi cung ứng phần mềm
-
Xây dựng chính sách quản lý mã nguồn mở.
-
Thực hiện quét và phân tích định kỳ.
-
Đào tạo đội ngũ về an toàn phần mềm.
4. Vai trò của SCA và SBOM
-
SCA (Software Composition Analysis) giúp phát hiện và xử lý lỗ hổng nhanh chóng.
-
SBOM (Software Bill of Materials) chính xác hỗ trợ minh bạch thành phần phần mềm và đáp ứng yêu cầu tuân thủ.
Trong bối cảnh mối đe dọa an ninh mạng ngày càng phức tạp, việc hiểu rõ thành phần mã nguồn mở trong phần mềm giúp doanh nghiệp giảm rủi ro khai thác từ lỗ hổng bảo mật, đảm bảo tuân thủ pháp lý và bảo vệ uy tín và tính toàn vẹn của sản phẩm.
📥 Tải miễn phí Báo cáo OSSRA 2025để khám phá chi tiết các số liệu, xu hướng và khuyến nghị từ chuyên gia Black Duck.
Liên hệ ASIC Cybersecurity – đối tác chính thức của Black Duck tại Việt Nam, Top performing Partner 2024 để được tư vấn triển khai giải pháp bảo mật toàn diện!
