Mã hóa có sự hỗ trợ của AI đang đẩy nhanh quá trình phát triển phần mềm, nhưng nghiên cứu mới cho thấy sự phát triển nhanh chóng của các phụ thuộc mã nguồn mở đang mở rộng khả năng tiếp xúc với lỗ hổng bảo mật và rủi ro chuỗi cung ứng phần mềm cho các nhóm doanh nghiệp.

Số lượng lỗ hổng mã nguồn mở trung bình trên mỗi cơ sở mã đã tăng gấp đôi trong năm qua, theo báo cáo Phân tích rủi ro và phần mềm nguồn mở Black Duck (OSSRA) hàng năm.

Báo cáo, đã phân tích hàng năm tình trạng của phần mềm nguồn mở trong một thập kỷ, đã tìm thấy trung bình 581 lỗ hổng cho mỗi ứng dụng mã nguồn mở.

“Những phát hiện năm nay ghi lại một thời điểm quan trọng: Sự bùng nổ của sự phát triển có sự hỗ trợ của AI đã thay đổi cơ bản bối cảnh rủi ro đối với phần mềm và đường cơ sở để tuân thủ các sáng kiến quy định mới như Đạo luật Phục hồi Mạng của EU (CRA) và Đạo luật Khả năng phục hồi Hoạt động Kỹ thuật số (DORA)”, báo cáo lưu ý.

Tính cấp bách của những phát hiện này được nhấn mạnh bởi dữ liệu tấn công trong thế giới thực: 65% các tổ chức được khảo sát cho biết đã trải qua một cuộc tấn công chuỗi cung ứng phần mềm trong năm qua. Đây là những mối đe dọa đang hoạt động ảnh hưởng đến các doanh nghiệp trong mọi ngành.

Báo cáo đặt những thay đổi trong bối cảnh phần mềm mã nguồn mở hiện tại ngay trước ngưỡng cửa của trí tuệ nhân tạo. Cách tiếp cận truyền thống đối với bảo mật ứng dụng được thiết kế cho một thế giới nơi con người viết mã với tốc độ của con người, trong khi ngày nay mã do AI tạo ra đang sử dụng mã nguồn mở ở quy mô chưa từng có. Các nhóm bảo mật ứng dụng đang phải vật lộn để bắt kịp với các trợ lý mã hóa đó.

Theo báo cáo, các trợ lý mã hóa đã trở thành nền tảng cho bộ công cụ của nhà phát triển như trình biên dịch hoặc trình gỡ lỗi. Báo cáo cũng cho thấy 57% tổ chức đã sử dụng trợ lý mã hóa do AI cung cấp, trong khi 76% công ty cấm sử dụng trợ lý AI thừa nhận rằng chúng vẫn đang được sử dụng.

AI thúc đẩy sự thay đổi hệ thống

“Điểm mấu chốt rút ra từ báo cáo nghiên cứu OSSRA năm nay là AI đã thực sự thay đổi quy mô và tốc độ đưa ra rủi ro phần mềm.”

Thực tế là các lỗ hổng trên mỗi cơ sở mã đã tăng hơn gấp đôi trong một năm báo hiệu một sự thay đổi mang tính hệ thống. Sự phát triển có sự hỗ trợ của AI đang đẩy nhanh quá trình tạo mã, mở rộng phần phụ thuộc và tích hợp mô hình nhanh hơn so với các phương pháp quản trị và bảo mật truyền thống có thể theo kịp.

Đối với các nhóm an ninh, khả năng hiển thị là điều không thể thương lượng. Các tổ chức phải biết chính xác những gì có trong phần mềm của họ, bao gồm các thành phần mã nguồn mở, phụ thuộc chuyển tiếp và mô hình AI nhúng.

Trong khi nguồn mở hiện nay làm nền tảng cho gần như mọi ứng dụng doanh nghiệp, hầu hết các tổ chức vẫn coi nó như một sự phụ thuộc thụ động hơn là mã chủ động mà họ sở hữu.

“Bạn không thể thuê ngoài trách nhiệm. Nếu nó nằm trong ngăn xếp của bạn, đó là rủi ro của bạn. Giảm lỗ hổng bắt đầu với khả năng hiển thị và quyền sở hữu.”

Vấn đề mở rộng quy mô

Báo cáo cho thấy các lỗ hổng trung bình trên mỗi cơ sở mã tăng hơn gấp đôi từ 280 lên 581, đồng thời các thành phần trên mỗi ứng dụng tăng 30%.

Điều này cho thấy đây không chỉ là vấn đề lỗ hổng, mà còn là vấn đề quy mô.

Các tổ chức đã trở nên rất giỏi trong việc tìm ra các vấn đề, nhưng lại chưa giỏi trong việc sửa chữa chúng ở quy mô lớn.

Giảm lỗ hổng đòi hỏi phải chuyển từ tạo cảnh báo sang khắc phục tự động phù hợp với chính sách. Các nhóm bảo mật cần ngữ cảnh, thông tin tình báo về khả năng khai thác và khả năng loại bỏ rủi ro trong mã một cách có hệ thống.

Nếu không có sự thay đổi đó, số lượng lỗ hổng sẽ tiếp tục tăng lên.

Bất chấp nhận thức rộng rãi về rủi ro AI, số lượng lỗ hổng trên mỗi ứng dụng vẫn tăng gấp đôi trong một năm. Điều này cho thấy tốc độ của mã do AI tạo ra đã vượt xa cả đánh giá của con người và các biện pháp kiểm soát DevSecOps truyền thống.

“Chúng ta không thể mong đợi xử lý rủi ro tốc độ máy móc bằng phản hồi tốc độ của con người.”

Bùng nổ cơ sở mã

Báo cáo cũng cho thấy kích thước cơ sở mã nguồn mở và sự tăng trưởng phụ thuộc đã bùng nổ:

• Số lượng thành phần tăng 30%

• Số lượng tệp trên mỗi cơ sở mã tăng 74%

Mã hóa có sự hỗ trợ của AI đã đẩy nhanh đáng kể tốc độ tạo mã. Các mô hình AI được đào tạo trên mã nguồn mở và khi được sử dụng, chúng thường kéo vào bất kỳ thư viện nào cần thiết để thực hiện chức năng được yêu cầu.

Các mô hình này được tối ưu hóa để giúp mã hoạt động, không phải để kiểm tra cây phụ thuộc.

Điều đó có nghĩa là các cơ sở mã đang phát triển nhanh hơn bao giờ hết, nhưng việc giám sát bảo mật lại không theo kịp. Mỗi phụ thuộc được thêm vào đều trở thành một bề mặt tấn công tiềm ẩn, và khi AI thêm chúng với tốc độ chưa từng có, rủi ro tăng lên nhanh chóng.

Nhiều mã hơn đồng nghĩa với nhiều mã hơn để kiểm tra. Nhiều phụ thuộc hơn đồng nghĩa với nhiều quyết định bên thứ ba có thể gây lỗi phần mềm.

Mỗi đoạn mã có thể chứa một điểm yếu có thể bị khai thác. Vì vậy, càng nhiều nguồn mã được sử dụng, việc quản lý bề mặt tấn công cho bất kỳ sản phẩm nào càng trở nên khó khăn hơn.

Rủi ro pháp lý và cấp phép

Báo cáo cũng cho thấy AI đang thúc đẩy các rủi ro pháp lý và cấp phép mới.

68% cơ sở mã được kiểm tra chứa xung đột giấy phép nguồn mở, mức tăng lớn nhất trong lịch sử OSSRA.

Mã do AI tạo ra đang làm tăng sự không chắc chắn về sở hữu trí tuệ và cấp phép. Trong khi đó:

• Chỉ 54% tổ chức xem xét mã do AI tạo ra để phát hiện rủi ro cấp phép

• Chỉ 24% tiến hành đánh giá IP, bảo mật và chất lượng toàn diện

Sự phát triển có sự hỗ trợ của AI tạo ra một lớp mới của sự không chắc chắn về nguồn gốc. Các nhà phát triển có thể kết hợp mã do AI tạo ra mà không hoàn toàn rõ ràng liệu nó có phản ánh các thành phần mã nguồn mở với nghĩa vụ cấp phép cụ thể hay không.

Điều này tạo ra rủi ro tuân thủ và nguy cơ vi phạm sở hữu trí tuệ, đặc biệt trong các ngành công nghiệp được quản lý hoặc phân phối phần mềm thương mại.

Để giảm rủi ro đó, các tổ chức được khuyến nghị coi mã do AI tạo ra giống như mã của bên thứ ba không rõ nguồn gốc.

Điều đó có nghĩa là nó phải trải qua:

• quét giấy phép

• kiểm tra bảo mật

• kiểm tra chính sách

giống như bất kỳ phụ thuộc bên ngoài nào khác.

Thiết lập các chính sách quản trị rõ ràng — chẳng hạn như công cụ AI được phê duyệt, quy trình đánh giá bắt buộc và tài liệu về việc sử dụng AI — cũng giúp giảm sự không chắc chắn.

Tính minh bạch và khả năng truy xuất nguồn gốc là yếu tố thiết yếu. Nếu các tổ chức có thể chứng minh rằng họ đã thực hiện thẩm định trong việc đánh giá các đóng góp do AI tạo ra, họ có thể giảm đáng kể rủi ro pháp lý và tuân thủ.

Xuất xứ trở thành phòng thủ quan trọng

Rủi ro phần mềm ngày càng trở thành vấn đề chuỗi cung ứng, không chỉ là vấn đề của một ứng dụng đơn lẻ.

Việc áp dụng mã nguồn mở, tăng trưởng phụ thuộc và phát triển bằng AI đều đang tăng tốc cùng lúc.

Các tổ chức quản lý rủi ro hiệu quả nhất là những tổ chức chuyển từ vá lỗi phản ứng sang khả năng hiển thị chủ động và kỷ luật vận hành.

Kiểm kê liên tục, kiểm soát tự động và trách nhiệm quản lý đối với rủi ro chuỗi cung ứng phần mềm sẽ trở nên cần thiết khi tốc độ phát triển tiếp tục tăng.

Sự gia tăng phụ thuộc nguồn mở cũng tạo điều kiện cho các tác nhân xấu che giấu các cuộc tấn công trong nhiều lớp phụ thuộc khác nhau.

Để chống lại điều đó, nguồn gốc của các phụ thuộc nguồn mở nên được theo dõi không chỉ theo vị trí địa lý mà còn theo các đặc điểm như:

• số lượng và tần suất đóng góp

• lịch sử bảo trì

• hành vi của người đóng góp

Điều này giúp xác định các tác nhân xấu và xác định phạm vi ảnh hưởng của một cuộc tấn công bằng cách theo dõi các thư viện mà họ đã đóng góp.

Một số cuộc tấn công được ghi nhận có thể được phát hiện sớm nếu hiểu rõ nguồn gốc của những người đóng góp cho các thư viện.