การเพิ่มขึ้นของช่องโหว่ความปลอดภัยและการใช้
AI
ตรวจจับภัยคุกคาม
ทำให้องค์กรต้องเร่งยกระดับการจัดการซอฟต์แวร์และซัพพลายเชน
คริส ไรท์
ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี และรองประธานอาวุโสฝ่ายวิศวกรรมระดับโลก เร้ดแฮท
กล่าวว่า แม้ช่วงที่ผ่านมาองค์กรจะเผชิญข่าวเกี่ยวกับช่องโหว่แบบ zero-day
และการใช้ AI เพื่อค้นหาช่องโหว่เพิ่มขึ้น
จนเกิดคำถามเกี่ยวกับความปลอดภัยของซอฟต์แวร์โอเพนซอร์ส
แต่โอเพนซอร์สยังคงเป็นเทคโนโลยีที่มีความปลอดภัยโดยพื้นฐาน
และเป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานด้านไอที
‘โอเพ่นซอร์ส’ รากฐานระบบไอที
ปัจจุบัน
ซอฟต์แวร์โอเพ่นซอร์สคิดเป็นสัดส่วนเฉลี่ยมากกว่าสามในสี่ของซอร์สโค้ดที่องค์กรใช้พัฒนาซอฟต์แวร์หรือระบบภายใน
ตั้งแต่ระบบปฏิบัติการ แอปพลิเคชันเซิร์ฟเวอร์ ฐานข้อมูล ระบบเครือข่าย
ไปจนถึงเครื่องมือพัฒนาซอฟต์แวร์และองค์ประกอบเบื้องหลังของโครงสร้างพื้นฐานดิจิทัล
คริสระบุว่า
ซอฟต์แวร์กรรมสิทธิ์แม้เป็นอีกทางเลือกหนึ่ง
แต่ยังมีข้อจำกัดเมื่อเทียบกับโอเพ่นซอร์ส ทั้งในด้านขนาด ความหลากหลาย
และการใช้งานในวงกว้าง
นอกจากนี้
ซอร์สโค้ดของซอฟต์แวร์กรรมสิทธิ์เปิดให้ตรวจสอบได้เฉพาะผู้พัฒนา
ทำให้การค้นพบและแก้ไขช่องโหว่ขึ้นอยู่กับผู้จำหน่ายเพียงฝ่ายเดียว
ขณะที่โอเพนซอร์สเปิดให้ทุกฝ่ายเข้าถึงซอร์สโค้ด
ตรวจสอบ รายงาน และร่วมแก้ไขปัญหาได้
ส่งผลให้ชุมชนผู้พัฒนาสามารถช่วยกันค้นหาและอุดช่องโหว่ได้รวดเร็วขึ้น รวมถึงการนำ
AI
มาใช้เพิ่มประสิทธิภาพการตรวจสอบโค้ด
'ช่องโหว่' ถูกแก้ไขไม่ถึง
1%
แม้ไม่มีแนวทางพัฒนาซอฟต์แวร์ใดที่ปลอดภัยได้อย่างสมบูรณ์
แต่ความโปร่งใสของโอเพ่นซอร์สทำให้สามารถรับมือภัยคุกคามได้มีประสิทธิภาพมากขึ้น
คริสระบุว่า ตั้งแต่ปี 2559 จำนวนช่องโหว่ที่ได้รับการเปิดเผยต่อสาธารณะ (CVEs) เพิ่มขึ้นกว่า 520% ขณะที่เครื่องมือ AI สามารถค้นพบช่องโหว่ระดับ zero-day ได้ภายในเวลาเพียงไม่กี่ชั่วโมง
จากเดิมที่อาจใช้เวลาหลายเดือน
อย่างไรก็ตาม ช่องโหว่ที่ AI
ค้นพบได้รับการแก้ไขหรือแพตช์ไม่ถึง 1%
สะท้อนว่าปัญหาหลักไม่ได้อยู่ที่การค้นพบช่องโหว่
แต่เป็นความสามารถขององค์กรในการทดสอบและนำแพตช์ไปใช้งานได้อย่างรวดเร็ว
อีกประเด็นสำคัญคือ
องค์กรจำนวนมากใช้งานแพ็กเกจโอเพ่นซอร์สชุดเดียวกัน เช่น Spring
Framework, Jackson, Log4j, Pandas และ OpenSSL แต่กลับตรวจสอบช่องโหว่และพัฒนาแพตช์แยกกัน
ส่งผลให้เกิดต้นทุนซ้ำซ้อนและคุณภาพการแก้ไขที่ไม่สม่ำเสมอ
เร้ดแฮทจึงมองว่า
การรักษาความปลอดภัยของซัพพลายเชนซอฟต์แวร์จำเป็นต้องอาศัยความร่วมมือกับชุมชนผู้พัฒนาต้นน้ำ
(upstream
communities) เพื่อยกระดับมาตรฐานการดูแลความปลอดภัยร่วมกัน
กลยุทธ์ปลดล็อกซอฟต์แวร์องค์กร
คริสเสนอแนวทางที่องค์กรสามารถนำไปใช้เพื่อยกระดับความปลอดภัยของซัพพลายเชนซอฟต์แวร์
ได้แก่
เลือกใช้แพลตฟอร์มจากผู้ให้บริการที่มีส่วนร่วมกับโครงการโอเพ่นซอร์สอย่างต่อเนื่อง
มีการทำ security
backport และมีกระบวนการแจ้งเตือนช่องโหว่อย่างรับผิดชอบ
รวมไปถึง
จัดทำรายการส่วนประกอบของซอฟต์แวร์ทั้งหมด รวมถึงไลบรารีโอเพ่นซอร์ส
ส่วนประกอบที่เกี่ยวเนื่องกัน (transitive dependencies) และเวอร์ชันที่ใช้งานจริง
นอกจากนี้
วัดระยะเวลาตั้งแต่ต้นทางเผยแพร่แพตช์จนถึงการติดตั้งใช้งานจริง
พร้อมกำหนดเป้าหมายลดระยะเวลาดังกล่าว ทำกระบวนการ rebuild และ redeploy ซอฟต์แวร์ให้เป็นอัตโนมัติ
เพื่อรองรับการอัปเดตที่รวดเร็ว
พร้อมใช้โซลูชันด้านความปลอดภัยเชิงรุก
เช่น ระบบที่มี zero-CVE baselines และการป้องกันขณะทำงาน
(runtime protection)
เปิดตัว ‘Project
Lightwell’
เร้ดแฮทและไอบีเอ็มเปิดตัว Project
Lightwell เพื่อพัฒนากลไกช่วยแก้ไขช่องโหว่ (remediation
engine) สำหรับซัพพลายเชนซอฟต์แวร์
โดยระบุว่าโครงการได้รับการสนับสนุนจากการลงทุนมูลค่า 5
พันล้านดอลลาร์ และมีทีมวิศวกรกว่า 20,000 คนร่วมพัฒนา
Project
Lightwell ขยายแนวทางการทำ backporting ซึ่งเร้ดแฮทใช้กับระบบปฏิบัติการมายาวนานกว่า
20 ปี
ไปยังเฟรมเวิร์กและแพ็กเกจโอเพ่นซอร์สในระดับแอปพลิเคชัน เริ่มจากระบบ Maven/Java
ก่อนขยายไปยัง PyPI, npm และแพลตฟอร์มอื่น
แนวทางดังกล่าวใช้ AI
ร่วมกับวิศวกรในการวิเคราะห์และพัฒนาแพตช์เฉพาะจุด (surgical
fixes) บนเวอร์ชันที่องค์กรใช้งานจริง
เพื่อลดความจำเป็นในการอัปเกรดซอฟต์แวร์เป็นเวอร์ชันใหม่ทั้งหมด
ซึ่งอาจกระทบต่อเสถียรภาพของระบบ
สร้างความร่วมมือ ‘ซัพพลายเชนซอฟต์แวร์’
เร้ดแฮทระบุว่า
หากองค์กรพัฒนาแพตช์ใช้เองโดยไม่ส่งกลับไปยังโครงการต้นน้ำ
จะทำให้ต้องแบกรับภาระการดูแลโค้ดดังกล่าวในระยะยาว
Project
Lightwell จึงกำหนดแนวทางส่งแพตช์กลับสู่โครงการโอเพ่นซอร์สต้นทาง
เพื่อให้การแก้ไขกลายเป็นส่วนหนึ่งของซอร์สโค้ดสาธารณะ
ลดการแตกแขนงของโค้ดและช่วยยกระดับความปลอดภัยของระบบนิเวศโดยรวม
นอกจากนี้
โครงการยังมุ่งสร้างศูนย์กลางแลกเปลี่ยนข้อมูลด้านความปลอดภัยระหว่างองค์กรในภาคการเงินและโครงสร้างพื้นฐานสำคัญ
โดยสมาชิกสามารถแบ่งปันข้อมูลช่องโหว่
รับแพตช์ที่ผ่านการประสานงานก่อนเผยแพร่สู่สาธารณะ พร้อมรองรับการจัดทำ machine-readable
SBOM, cryptographic signature และเอกสารด้านความปลอดภัยเพื่อสนับสนุนการปฏิบัติตามข้อกำหนด
คริสกล่าวทิ้งท้ายว่า
การรักษาความปลอดภัยของซัพพลายเชนซอฟต์แวร์เป็นความท้าทายร่วมของทั้งอุตสาหกรรม
และการทำงานร่วมกันผ่านชุมชนโอเพ่นซอร์สจะช่วยให้การแก้ไขช่องโหว่เกิดขึ้นได้รวดเร็วขึ้น
พร้อมยกระดับความปลอดภัยของระบบนิเวศโอเพนซอร์สในระยะยาว
ที่มา : กรุงเทพธุรกิจ
วันที่ 14 กรกฎาคม 2569