Embed Size (px)
DESCRIPTION
Phát triển các phần mềm tự do nguồn mở theo đúng mô hình phát triển của nó là một cách quan trọng để đảm bảo an toàn an ninh cho phần mềm tự do nguồn mở được sử dụng trong Chính phủ.
Citation preview
Mô hình và giải pháp đảm bảo ATTTMô hình và giải pháp đảm bảo ATTTđối với các ứng dụng nguồn mở trong đối với các ứng dụng nguồn mở trong
các cơ quan nhà nướccác cơ quan nhà nước
Hội thảo về An toàn thông tin trong các cơ quan nhà nước và Hội thảo về An toàn thông tin trong các cơ quan nhà nước và doanh nghiệp nhà nước thành phố Hà Nội, 21/09/2012doanh nghiệp nhà nước thành phố Hà Nội, 21/09/2012
NGƯỜI TRÌNH BÀY: LÊ TRUNG NGHĨAVĂN PHÒNG PHỐI HỢP PHÁT TRIỂN
MÔI TRƯỜNG KHOA HỌC & CÔNG NGHỆ, BỘ KHOA HỌC & CÔNG NGHỆ
Email: [email protected]: http://vn.myblog.yahoo.com/ltnghia
http://vnfoss.blogspot.com/ Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/HanoiLUG wiki: http://wiki.hanoilug.org/ Đăng ký tham gia HanoiLUG:
http://lists.hanoilug.org/mailman/listinfo/hanoilug/
Nội dung
A. Nhận định chung về ATTT trong các ứng dụng phần mềm B. Triết lý trong phát triển PMTDNM
C. Tuân thủ mô hình phát triển của PMTDNM là một trong những giải pháp quan trọng để đảm bảo ATTT cho PMTDNM
D. Các cơ quan nhà nước với chiến lược người tiêu dùng PMTDNM
A. Nhận định chung về ATTTtrong các ứng dụng phần mềm (1)
1. Mất ANAT trong các ứng dụng phần mềm xảy ra cả với các PMTDNM và PMSHĐQ.2. Mã nguồn yếu là điểm mấu chốt gây mất ANAT cho PM.3. Site của Bộ Quốc phòng Mỹ [7]: - “Tin cậy vào sự cứng cỏi, không tin cậy vào sự tối tăm” (về mã nguồn). - Trung bình để khắc phục 1 lỗi phần mềm, Mozilla cần 37 ngày, Microsoft cần 134,5 ngày
A. Nhận định chung về ATTTtrong các ứng dụng phần mềm (2)
4. Tài liệu Bộ Quốc phòng Mỹ về Phát triển Công nghệ Mở [5], 15/6/2011, để thành công cần: - Cộng đồng trước, công nghệ sau - Mặc định là mở, đóng chỉ khi cần - Chương trình của bạn không có gì đặc biệt. Đúng là quân sự có những nhu cầu và khả năng chiến đấu, nhưng (đặc biệt trong CNTT) chúng ta không có. - ...5. Chính phủ có quyền trí tuệ không hạn chế đối với mã nguồn các phần mềm và hệ thống sử dụng trong chính phủ [5].
A. Nhận định chung về ATTTtrong các ứng dụng phần mềm (3)
5. Chính phủ có quyền trí tuệ không hạn chế với mã nguồn của các phần mềm và hệ thống được sử dụng trong chính phủ → Không đồng nghĩa với việc mọi cơ quan đòi mã nguồn trong các hợp đồng, mà nên xây dựng cổng chung chia sẻ, quản lý các dự án PMTDNM với tất cả các thông tin liên quan cho các cơ quan. Hệ quả → cần thiết phải hiểu rõ về các giấy phép của PMTDNM.
A. Nhận định chung về ATTTtrong các ứng dụng phần mềm (4)
Xác suất lỗi trong hệ thống các PMTDNMRHEL 4.0 và 5.0 có số lỗi sống còn bằng 0.
B. Triết lý trong phát triển PMTDNMEric Raymond, đồng sáng lập phong trào nguồn mở, tác giả cuốn sách “Nhà thờ lớn và cái chợ”: “Given enough eyeballs, all bugs are shallow” - “Nhiều con mắt soi vào thì lỗi sẽ cạn” - 1 trong 2 tuyên bố của Luật Linus.
Linus Torvalds, nhà phát minh ra nhân Linux:“Talk is cheap, show me the code” - “Nói thì ít giá trị, hãy cho tôi xem mã nguồn”Trích Site nguồn mở của Bộ Quốc phòng Mỹ [7]
Một trong những giá trị lớn nhất của phát triển nguồn mở là cho phép truy cập từ một cộng đồng rộng lớn tới mã nguồn. Theo cách này các lỗi sẽ ít và dễ tìm ra hơn. Truy cập rộng rãi hơn tới mã nguồn phần mềm cũng là chìa khóa để hình thành và duy trì vị thế an ninh cho phần mềm vì có khả năng rà soát lại mã nguồn phần mềm để xem điều gì thực sự hiện diện bên trong phần mềm đó [5].
C. Tuân thủ mô hình phát triểnPMTDNM là một giải pháp quan trọng...(1)
Rà soát lại ngang hàng cả từ những người duy trì và những người sử dụng một cách liên tục làm mã nguồn cứng cáp → yếu tố chính giúp nâng mức độ ANAT của các ứng dụng PMTDNM.
C. Tuân thủ mô hình phát triểnPMTDNM là một giải pháp quan trọng...(2)
Cộng đồng những người sử dụng tham gia vào tiến trình phát triển PMTDNM → Đưa ra các yêu cầu tính năng...
Cần tuân thủ mô hình phát triển PMTDNM, không đóng mã nguồn → tạo rẽ nhánh không cần thiết, gây hại cho cơ quan phát triển và các đơn vị sử dụng.
◄ Phát triển đúng mô hình, có đóng góp ngược lên dòng trên cho cây dự án nguồn mở gốc ban đầu.
Phát triển rẽ nhánh, không có đóng góp ngược lên dòng trên cho cây dự án nguồn mở gốc ban đầu. ►
C. Tuân thủ mô hình phát triểnPMTDNM là một giải pháp quan trọng...(3)
● Giao tiếp chiến lược cho việc sử dụng PMNM.● Giáo dục các nhân viên về các bổn phận của giấy phép và sự tuân thủ
nguồn mở, và mô hình phát triển nguồn mở.● Thiết lập các tiêu chí rõ ràng xác định PMNM nào là ứng viên để sử dụng● Thiết lập một chương trình tuân thủ nguồn mở.● Khuyến khích các lập trình viên áp dụng các công cụ phát triển nguồn mở.● Khuyến khích các nhân viên đăng ký vào các công cụ giao tiếp cộng đồng.● Khuyến khích và cấp tiền cho các nhân viên tham dự các hội nghị PMNM.● Tham gia vào các cơ quan và tổ chức công nghiệp nguồn mở quốc tế.● Thuê các lập trình viên từ các cộng đồng nguồn mở.● Tổ chức các nhóm người sử dụng nguồn mở địa phương và khuyến khích
các nhân viên tham gia trong các hoạt động nguồn mở của địa phương.● Hợp tác với các thành viên của cộng đồng cả trong và ngoài nước.
D. Chiến lược người tiêu dùng PMTDNM
Tham khảo thêm: [3] Thiết lập chiến lược PMNM - Những cân nhắc chính và những khuyến cáo chiến thuật, Quỹ Linux, tháng 11/2011.
Tóm lược1. ANAT thông tin là một lĩnh vực rộng lớn, tài liệu này chỉ đề cập tới phần ANAT thông tin liên quan tới sử dụng các ứng dụng PMTDNM trong các cơ quan và doanh nghiệp nhà nước.
2. Mã nguồn phần mềm là một yếu tố chủ chốt trong ANAT TT.
3. Mô hình phát triển của PMTDNM làm cho mã nguồn được rà soát lại ngang hàng từ cả người sử dụng và lập trình viên trên toàn thế giới, làm cho nó cứng cáp, vì thế giúp đảm bảo ANAT TT tốt hơn.
4. Để đảm bảo ANAT TT đối với các ứng dụng nguồn mở trong các cơ quan, doanh nghiệp nhà nước, ít nhất, nên:
- Tuân thủ mô hình phát triển PMTDNM, không đóng lại, rẽ nhánh.- Hợp tác và tham gia với cộng đồng, cả trong và ngoài nước.- Có quyền trí tuệ không hạn chế đối với các phần mềm sử dụng.- Có cách thức tốt để quản lý mã nguồn hợp lý, mục tiêu là để ai cũng xem xét được mã nguồn, chứ không chỉ đơn vị sử dụng.- Xây dựng chiến lược người tiêu dùng nguồn mở cho đơn vị.
Tài liệu tham khảo
1. Hiểu biết về mô hình phát triển nguồn mở. Quỹ Linux, 11/2011.
2. Ngược lên dòng trên. Quỹ Linux, 01/2012.
3. Thiết lập chiến lược phần mềm nguồn mở. Quỹ Linux, 11/2011.
4. Phát triển nhân Linux. Quỹ Linux, 01/2012.
5. Phát triển công nghệ mở - Những bài học học được và những thực tiễn tốt nhất cho các phần mềm quân sự. Bộ Quốc phòng Mỹ, xuất bản ngày 15/06/2011.
6. Kế hoạch lộ trình phát triển công nghệ mở. Bộ Quốc phòng Mỹ, xuất bản tháng 04/2006.
7. Website về phần mềm nguồn mở quân sự của quân đội Mỹ.
Cảm ơn!
Hỏi đáp
