Phát triển các phần mềm tự do nguồn mở theo đúng mô hình phát triển của nó là một cách quan trọng để đảm bảo an toàn an ninh cho phần mềm tự do nguồn mở được sử dụng trong Chính phủ.
1. Mô hình và giải pháp đảm bảo ATTT
đối với các ứng dụng nguồn mở trong
các cơ quan nhà nước
Hội thảo về An toàn thông tin trong các cơ quan nhà nước và
doanh nghiệp nhà nước thành phố Hà Nội, 21/09/2012
NGƯỜI TRÌNH BÀY: LÊ TRUNG NGHĨA
VĂN PHÒNG PHỐI HỢP PHÁT TRIỂN
MÔI TRƯỜNG KHOA HỌC & CÔNG NGHỆ,
BỘ KHOA HỌC & CÔNG NGHỆ
Email: letrungnghia.foss@gmail.com
Blogs: http://vn.myblog.yahoo.com/ltnghia
http://vnfoss.blogspot.com/
Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/
HanoiLUG wiki: http://wiki.hanoilug.org/
Đăng ký tham gia HanoiLUG:
http://lists.hanoilug.org/mailman/listinfo/hanoilug/
2. Nội dung
A. Nhận định chung về ATTT trong các ứng dụng phần mềm
B. Triết lý trong phát triển PMTDNM
C. Tuân thủ mô hình phát triển của PMTDNM là một trong
những giải pháp quan trọng để đảm bảo ATTT cho PMTDNM
D. Các cơ quan nhà nước với chiến lược người tiêu dùng
PMTDNM
3. A. Nhận định chung về ATTT
trong các ứng dụng phần mềm (1)
1. Mất ANAT trong
các ứng dụng phần
mềm xảy ra cả với
các PMTDNM và
PMSHĐQ.
2. Mã nguồn yếu là
điểm mấu chốt gây
mất ANAT cho PM.
3. Site của Bộ Quốc
phòng Mỹ [7]:
- “Tin cậy vào sự cứng
cỏi, không tin cậy vào sự
tối tăm” (về mã nguồn).
- Trung bình để khắc
phục 1 lỗi phần mềm,
Mozilla cần 37 ngày,
Microsoft cần 134,5 ngày
4. A. Nhận định chung về ATTT
trong các ứng dụng phần mềm (2)
4. Tài liệu Bộ Quốc phòng Mỹ về
Phát triển Công nghệ Mở [5],
15/6/2011, để thành công cần:
- Cộng đồng trước, công nghệ sau
- Mặc định là mở, đóng chỉ khi cần
- Chương trình của bạn không có gì
đặc biệt. Đúng là quân sự có những
nhu cầu và khả năng chiến đấu,
nhưng (đặc biệt trong CNTT) chúng ta
không có.
- ...
5. Chính phủ có quyền trí tuệ
không hạn chế đối với mã nguồn
các phần mềm và hệ thống sử
dụng trong chính phủ [5].
5. A. Nhận định chung về ATTT
trong các ứng dụng phần mềm (3)
5. Chính phủ có quyền trí tuệ không hạn chế với mã nguồn của
các phần mềm và hệ thống được sử dụng trong chính phủ →
Không đồng nghĩa với việc mọi cơ quan đòi mã nguồn trong các
hợp đồng, mà nên xây dựng cổng chung chia sẻ, quản lý các dự
án PMTDNM với tất cả các thông tin liên quan cho các cơ quan.
Hệ quả → cần thiết phải hiểu rõ về các giấy phép của PMTDNM.
6. A. Nhận định chung về ATTT
trong các ứng dụng phần mềm (4)
Xác suất lỗi trong hệ thống các PMTDNM
RHEL 4.0 và 5.0 có số lỗi sống còn bằng 0.
7. B. Triết lý trong phát triển PMTDNM
Eric Raymond, đồng sáng lập phong trào nguồn
mở, tác giả cuốn sách “Nhà thờ lớn và cái chợ”:
“Given enough eyeballs, all bugs are shallow” -
“Nhiều con mắt soi vào thì lỗi sẽ cạn”
- 1 trong 2 tuyên bố của Luật Linus.
Linus Torvalds, nhà phát minh ra nhân Linux:
“Talk is cheap, show me the code” -
“Nói thì ít giá trị, hãy cho tôi xem mã nguồn”
Trích Site nguồn mở của Bộ Quốc phòng Mỹ [7]
Một trong những giá trị lớn nhất của phát triển nguồn mở là cho
phép truy cập từ một cộng đồng rộng lớn tới mã nguồn. Theo cách
này các lỗi sẽ ít và dễ tìm ra hơn. Truy cập rộng rãi hơn tới mã
nguồn phần mềm cũng là chìa khóa để hình thành và duy trì vị thế
an ninh cho phần mềm vì có khả năng rà soát lại mã nguồn phần
mềm để xem điều gì thực sự hiện diện bên trong phần mềm đó [5].
8. C. Tuân thủ mô hình phát triển
PMTDNM là một giải pháp quan trọng...(1)
Rà soát lại ngang hàng cả từ những
người duy trì và những người sử dụng
một cách liên tục làm mã nguồn cứng
cáp → yếu tố chính giúp nâng mức độ
ANAT của các ứng dụng PMTDNM.
9. C. Tuân thủ mô hình phát triển
PMTDNM là một giải pháp quan trọng...(2)
Cộng đồng những người sử dụng tham gia vào tiến trình
phát triển PMTDNM → Đưa ra các yêu cầu tính năng...
10. C. Tuân thủ mô hình phát triển
PMTDNM là một giải pháp quan trọng...(3)
Cần tuân thủ mô hình phát triển PMTDNM, không đóng mã nguồn → tạo rẽ
nhánh không cần thiết, gây hại cho cơ quan phát triển và các đơn vị sử dụng.
◄ Phát triển đúng mô
hình, có đóng góp ngược
lên dòng trên cho cây dự
án nguồn mở gốc ban đầu.
Phát triển rẽ nhánh, không
có đóng góp ngược lên
dòng trên cho cây dự án
nguồn mở gốc ban đầu. ►
11. D. Chiến lược người tiêu dùng
PMTDNM
● Giao tiếp chiến lược cho việc sử dụng PMNM.
● Giáo dục các nhân viên về các bổn phận của giấy phép và sự tuân thủ
nguồn mở, và mô hình phát triển nguồn mở.
● Thiết lập các tiêu chí rõ ràng xác định PMNM nào là ứng viên để sử dụng
● Thiết lập một chương trình tuân thủ nguồn mở.
● Khuyến khích các lập trình viên áp dụng các công cụ phát triển nguồn mở.
● Khuyến khích các nhân viên đăng ký vào các công cụ giao tiếp cộng đồng.
● Khuyến khích và cấp tiền cho các nhân viên tham dự các hội nghị PMNM.
● Tham gia vào các cơ quan và tổ chức công nghiệp nguồn mở quốc tế.
● Thuê các lập trình viên từ các cộng đồng nguồn mở.
● Tổ chức các nhóm người sử dụng nguồn mở địa phương và khuyến khích
các nhân viên tham gia trong các hoạt động nguồn mở của địa phương.
● Hợp tác với các thành viên của cộng đồng cả trong và ngoài nước.
Tham khảo thêm: [3] Thiết lập chiến lược PMNM - Những cân nhắc
chính và những khuyến cáo chiến thuật, Quỹ Linux, tháng 11/2011.
12. Tóm lược
1. ANAT thông tin là một lĩnh vực rộng lớn, tài liệu này chỉ đề cập tới
phần ANAT thông tin liên quan tới sử dụng các ứng dụng PMTDNM
trong các cơ quan và doanh nghiệp nhà nước.
2. Mã nguồn phần mềm là một yếu tố chủ chốt trong ANAT TT.
3. Mô hình phát triển của PMTDNM làm cho mã nguồn được rà soát
lại ngang hàng từ cả người sử dụng và lập trình viên trên toàn thế
giới, làm cho nó cứng cáp, vì thế giúp đảm bảo ANAT TT tốt hơn.
4. Để đảm bảo ANAT TT đối với các ứng dụng nguồn mở trong các
cơ quan, doanh nghiệp nhà nước, ít nhất, nên:
- Tuân thủ mô hình phát triển PMTDNM, không đóng lại, rẽ nhánh.
- Hợp tác và tham gia với cộng đồng, cả trong và ngoài nước.
- Có quyền trí tuệ không hạn chế đối với các phần mềm sử dụng.
- Có cách thức tốt để quản lý mã nguồn hợp lý, mục tiêu là để ai
cũng xem xét được mã nguồn, chứ không chỉ đơn vị sử dụng.
- Xây dựng chiến lược người tiêu dùng nguồn mở cho đơn vị.
13. Tài liệu tham khảo
1. Hiểu biết về mô hình phát triển nguồn mở. Quỹ Linux, 11/2011.
2. Ngược lên dòng trên. Quỹ Linux, 01/2012.
3. Thiết lập chiến lược phần mềm nguồn mở. Quỹ Linux, 11/2011.
4. Phát triển nhân Linux. Quỹ Linux, 01/2012.
5. Phát triển công nghệ mở - Những bài học học được và những
thực tiễn tốt nhất cho các phần mềm quân sự. Bộ Quốc phòng
Mỹ, xuất bản ngày 15/06/2011.
6. Kế hoạch lộ trình phát triển công nghệ mở. Bộ Quốc phòng
Mỹ, xuất bản tháng 04/2006.
7. Website về phần mềm nguồn mở quân sự của quân đội Mỹ.