ݺߣ

ݺߣShare a Scribd company logo

Quản trị rủi ro nguồn mở tại các doanh nghiệp phần mềm Việt Nam

Security Bootcamp
Security Bootcamp

Quản trị rủi ro nguồn mở tại các doanh nghiệp phần mềm Việt Nam: Hiện trạng, khó khăn và hướng giải quyết

1 of 17
Downloaded 24 times
1 SBC 2024, Phú Quốc, 28-29/9/2024 Security Bootcamp 2024 Quản trị rủi ro nguồn mở tại các doanh nghiệp phần mềm Việt Nam: Hiện trạng, khó khăn và hướng giải quyết Nguyễn Hồng Quang VFOSSA <nhquang.ifi@gmail.com>
2 SBC 2024, Phú Quốc, 28-29/9/2024 Agenda ● Quản trị rủi ro nguồn mở ● Điều tra hiện trạng quản trị rủi ro nguồn mở tại các doanh nghiệp CNTT ● Kết quả điều tra và đánh giá sơ bộ ● Kinh nghiệm quốc tế về quản trị rủi ro nguồn mở ● Một số kiến nghị cho doanh nghiệp CNTT
3 SBC 2024, Phú Quốc, 28-29/9/2024 Quản trị rủi ro nguồn mở là gì? ● Quản trị rủi ro nguồn mở là việc xác định, đánh giá và giảm thiểu các rủi ro tiềm ẩn về bảo mật, tuân thủ và vận hành liên quan đến việc sử dụng PMNM trong các ứng dụng và hệ thống CNTT. ● Những rủi ro phổ biến liên quan đến việc sử dụng mã nguồn mở – Lỗ hổng phần mềm (Software vulnerabilities) – Thư viện lỗi thời (Outdated libraries) – Rủi ro cấp phép (Licensing risks)
4 SBC 2024, Phú Quốc, 28-29/9/2024 Lợi ích của quản trị rủi ro nguồn mở ● Tăng cường bảo mật – Đánh giá và cập nhật thường xuyên các thành phần nguồn mở trong ứng dụng – Biện pháp phòng thủ chủ động, nhanh nhẹn, ít tốn kém và ít gây gián đoạn hơn chống lại các mối đe dọa bảo mật tiềm ẩn ● Tuân thủ pháp luật và đem lại sự an tâm – Đảm bảo tổ chức luôn tuân thủ, giảm thiểu một cách hiệu quả rủi ro về các biến chứng pháp lý và các vụ kiện tiềm ẩn – Duy trì danh tiếng và tính toàn vẹn của tổ chức trong cộng đồng phần mềm ● Chất lượng phần mềm được cải thiện – Nâng cao hiệu suất của phần mềm, củng cố tính ổn định và tăng cường khả năng phục hồi của phần mềm, đóng góp lại cho cộng đồng => nâng cao danh tiếng, sự tin tưởng và công nhận cho doanh nghiệp
5 SBC 2024, Phú Quốc, 28-29/9/2024 Quản lý lỗ hổng nguồn mở là gì? ● Lỗ hổng phần mềm tương tự như lỗi trong mã, giống ổ khóa cửa bị lỗi. – Thường không phải là cố ý, là điểm yếu trong mã hoặc thiết kế – Có thể bị khai thác để xâm phạm tính bảo mật của hệ thống – Liên quan đến chính dự án hoặc các phần phụ thuộc của dự án. ● Nguồn gốc các lỗi bảo mật – Cấu hình và thiết lập không an toàn – CVE (lỗi kỹ thuật/lỗ hổng phần mềm) – Lỗi con người ● Quản lý lỗ hổng nguồn mở là một quy trình bảo mật CNTT nhằm tìm ra lỗ hổng trong cơ sở hạ tầng CNTT, phân loại mức độ nghiêm trọng của chúng và ngoài ra, cung cấp danh sách các hành động cần thực hiện để giải quyết các lỗ hổng. Mục tiêu là loại bỏ các lỗ hổng để chúng không còn có thể gây ra rủi ro nữa.
6 SBC 2024, Phú Quốc, 28-29/9/2024 Điều tra hiện trạng quản trị rủi ro nguồn mở tại các doanh nghiệp CNTT ● Mục tiêu: tìm hiểu mối quan tâm và nhu cầu của các doanh nghiệp cung cấp sản phẩm và dịch vụ phần mềm trong việc quản trị rủi ro nguồn mở, sau đó đưa ra đánh giá và đề xuất hướng giải quyết. ● Đối tượng: CEO hoặc CTO của các doanh nghiệp thành viên VFOSSA ● Hình thức: online qua Google Form, mời cá nhân đích danh ● Thời gian: 11-18/8/2024, gửi: 23, tham gia: 19 (82,6%) ● Nội dung điều tra: – Trải nghiệm sự cố liên quan thành phần nguồn mở – Thực hành quản trị rủi ro nguồn mở tại doanh nghiệp hiện tại – Nhu cầu nâng cao nhận thức, đào tạo kỹ năng quản trị rủi ro nguồn mở
7 SBC 2024, Phú Quốc, 28-29/9/2024 Trải nghiệm sự cố liên quan thành phần nguồn mở ● Doanh nghiệp của bạn đã bao giờ gặp và phải xử lý sự cố bảo mật hoặc rắc rối pháp lý do thành phần nguồn mở sử dụng trong sản phẩm của doanh nghiệp gây ra chưa? – Phần lớn DN (73,7%) đã từng có ít nhiều trải nghiệm sự cố có nguyên nhân từ nguồn mở – 21,1% đã có nhiều trải nghiệm
8 SBC 2024, Phú Quốc, 28-29/9/2024 Hiện trạng thực hành quản trị rủi ro nguồn mở tại doanh nghiệp ● Doanh nghiệp của bạn có thực hiện quản trị rủi ro nguồn mở trong các dự án và sản phẩm phần mềm của mình không? – Chưa có trải nghiệm sự cố -> chưa quan tâm quản trị rủi ro !!!
9 SBC 2024, Phú Quốc, 28-29/9/2024 Trường hợp không/chưa thực hiện quản trị rủi ro nguồn mở ● Đâu là nguyên nhân? – Không quan tâm = chủ quan ! ● Có trù tính sẽ áp dụng quản trị rủi ro nguồn mở trong tương lai không? – Không = rất chủ quan !!
10 SBC 2024, Phú Quốc, 28-29/9/2024 Trường hợp doanh nghiệp có quản trị rủi ro nguồn mở ● Có nhân sự bảo mật không? – 57,1% có nhân sự chuyên trách = có ý thức tốt về quản trị rủi ro nguồn mở ● Phương pháp quản trị rủi ro nguồn mở đang áp dụng là gì? – Đại đa số (78.6%) sử dụng phương pháp thủ công -> độ tin cậy thấp
11 SBC 2024, Phú Quốc, 28-29/9/2024 Nhu cầu tăng cường năng lực quản trị rủi ro nguồn mở Nhu cầu cao về hỗ trợ nâng cao nhận thức về quản trị rủi ro nguồn mở (76,5%), đặc biệt về giới thiệu làm quen với công cụ phân tích thành phần phần mềm (88,2%)
12 SBC 2024, Phú Quốc, 28-29/9/2024 Đánh giá kết quả điều tra ● Rủi ro nguồn mở là hiện hữu với các DN CNTT Việt Nam ● Sự quan tâm (nhận thức) của DN với quản trị rủi ro nguồn mở còn ở mức thấp ● Thiếu nhân lực có kỹ năng quản trị rủi ro nguồn mở ● Thiếu chính sách nguồn mở, quy trình quản trị rủi ro nguồn mở ● Thiếu công ty cung cấp dịch vụ kiểm toán phần mềm ● Chưa biết tận dụng các công cụ phân tích thành phần phần mềm (SCA) tự động, hóa đơn vật liệu phần mềm (SBOM) để năng cao hiệu suất, hiệu quả quản trị rủi ro. ● Hạn chế: – Số lượng DN tham gia điều tra nhỏ (thành viên VFOSSA) – Điều tra nhanh, câu hỏi ít, chưa dám đi vào chi tiết – Đánh giá mang tính gợi mở, nêu vấn đề cần suy nghĩ
13 SBC 2024, Phú Quốc, 28-29/9/2024 Kinh nghiệm quốc tế về quản trị rủi ro nguồn mở ● Thiết lập Chiến lược nguồn mở cho mỗi công ty – Tài liệu hướng dẫn kết nối các kế hoạch quản lý, tham gia và tạo phần mềm nguồn mở với các mục tiêu kinh doanh mà các kế hoạch phục vụ (Hướng dẫn của Linux Foundation, https://www.linuxfoundation.org/resources/open-source-guides/setting-an-open-source-strategy ) ● Thành lập Văn phòng chương trình nguồn mở (Open Source Program Office) – nơi được chỉ định để hỗ trợ, nuôi dưỡng, chia sẻ, giải thích và phát triển nguồn mở bên trong công ty (Hướng dẫn của Linux Foundation, https://todogroup.org/resources/guides/how-to-create-an-open-source-program-office/ ) ● Các công ty, bất kể qui mô lớn hay nhỏ, đều nên có chiến lược nguồn mở và văn phòng chương trình nguồn mở cho riêng mình – Không có mẫu chung cho mọi công ty, cần tham khảo các ví dụ, hướng dẫn và áp dụng phù hợp với mỗi trường hợp cụ thể – Văn phòng chương trình nguồn mở Google: 15 người phục vụ cho 72.000 nhân viên
14 SBC 2024, Phú Quốc, 28-29/9/2024 Hướng dẫn quản lý lỗ hổng nguồn mở hiệu quả ● Bảo mật nguồn mở toàn diện với khung an ninh mạng NIST – NIST CSF (US National Institute of Standards and Technology Cybersecurity Framework) là một tiêu chuẩn công nghiệp về an ninh mạng của Mỹ. ● Các biện pháp thực hành tốt nhất (best practices) để quản lý lỗ hổng hiệu quả – Giảm thiểu lỗi của con người thông qua tự động hóa (sử dụng công cụ) – Bảo mật toàn bộ ngăn xếp, không phải các khối bị cô lập – Phòng ngừa thông qua cấu hình an toàn – Tạo thuận lợi cho vá lỗi – Tích hợp phát hiện mối đe dọa ● Tham khảo – Ubuntu, A guide to open source vulnerability management, https://ubuntu.com/engage/vulnerability-management – Greenbone, Open Source Vulnerability Management, https://www.greenbone.net/en/open-source-vulnerability-management/ –
15 SBC 2024, Phú Quốc, 28-29/9/2024 Một quá trình liên tục phòng thủ chống lại các mối đe dọa ● Phần mềm nguồn mở đã cách mạng hóa cách chúng ta phát triển và triển khai ứng dụng, nhưng điều cần thiết là phải nhận ra và quản lý các rủi ro liên quan. ● Quản lý rủi ro nguồn mở bao gồm các biện pháp chủ động để xác định và giảm thiểu các lỗ hổng, đảm bảo tuân thủ giấy phép và cuối cùng là cung cấp phần mềm an toàn hơn và chất lượng cao hơn. ● Bằng cách tận dụng các công cụ, tài nguyên cộng đồng và các biện pháp thực hành tốt nhất, các nhà quản lý bảo mật ứng dụng có thể điều hướng sự phức tạp của quản lý rủi ro nguồn mở một cách hiệu quả. Trong bối cảnh mối đe dọa không ngừng phát triển và mở rộng, việc đi trước các rủi ro nguồn mở là rất quan trọng để bảo vệ các ứng dụng và cơ sở hạ tầng của tổ chức bạn. (Nguồn: Aaron Linskens, Open source risk management: Safeguarding software integrity, https://www.sonatype.com/blog/open-source-risk-management)
16 SBC 2024, Phú Quốc, 28-29/9/2024 Một số kiến nghị cho doanh nghiệp CNTT ● Nâng cao nhận thức cho lãnh đạo doanh nghiệp về tầm quan trọng của quản trị rủi ro nguồn mở ● Học tập và làm theo những kinh nghiệm quốc tế về quản trị rủi ro nguồn mở, áp dụng sáng tạo và mềm dẻo vào thực tiễn doanh nghiệp, không nên nghĩ rằng mình nhỏ quá hay vì mình chưa gặp chuyện gì, phòng bệnh hơn chữa bệnh ● Tăng cường áp dụng các công cụ quét mã tự động (SCA), SBOM, ... theo thông lệ quốc tế để cải thiện chất lượng mã, giảm thiểu lỗ hổng bảo mật và/hoặc xung đột giấy phép của các thành phần nguồn mở ● Tăng cường chia sẻ, trao đổi cộng đồng về những cách làm hay, bài học sau sự cố, đóng góp cải thiện mã, bản vá an toàn, để chất lượng PMNM ngày càng cao và an toàn.
17 SBC 2024, Phú Quốc, 28-29/9/2024 Xin trân trọng cảm ơn !

More Related Content

Quản trị rủi ro nguồn mở tại các doanh nghiệp phần mềm Việt Nam

  • 1. 1 SBC 2024, Phú Quốc, 28-29/9/2024 Security Bootcamp 2024 Quản trị rủi ro nguồn mở tại các doanh nghiệp phần mềm Việt Nam: Hiện trạng, khó khăn và hướng giải quyết Nguyễn Hồng Quang VFOSSA <nhquang.ifi@gmail.com>
  • 2. 2 SBC 2024, Phú Quốc, 28-29/9/2024 Agenda ● Quản trị rủi ro nguồn mở ● Điều tra hiện trạng quản trị rủi ro nguồn mở tại các doanh nghiệp CNTT ● Kết quả điều tra và đánh giá sơ bộ ● Kinh nghiệm quốc tế về quản trị rủi ro nguồn mở ● Một số kiến nghị cho doanh nghiệp CNTT
  • 3. 3 SBC 2024, Phú Quốc, 28-29/9/2024 Quản trị rủi ro nguồn mở là gì? ● Quản trị rủi ro nguồn mở là việc xác định, đánh giá và giảm thiểu các rủi ro tiềm ẩn về bảo mật, tuân thủ và vận hành liên quan đến việc sử dụng PMNM trong các ứng dụng và hệ thống CNTT. ● Những rủi ro phổ biến liên quan đến việc sử dụng mã nguồn mở – Lỗ hổng phần mềm (Software vulnerabilities) – Thư viện lỗi thời (Outdated libraries) – Rủi ro cấp phép (Licensing risks)
  • 4. 4 SBC 2024, Phú Quốc, 28-29/9/2024 Lợi ích của quản trị rủi ro nguồn mở ● Tăng cường bảo mật – Đánh giá và cập nhật thường xuyên các thành phần nguồn mở trong ứng dụng – Biện pháp phòng thủ chủ động, nhanh nhẹn, ít tốn kém và ít gây gián đoạn hơn chống lại các mối đe dọa bảo mật tiềm ẩn ● Tuân thủ pháp luật và đem lại sự an tâm – Đảm bảo tổ chức luôn tuân thủ, giảm thiểu một cách hiệu quả rủi ro về các biến chứng pháp lý và các vụ kiện tiềm ẩn – Duy trì danh tiếng và tính toàn vẹn của tổ chức trong cộng đồng phần mềm ● Chất lượng phần mềm được cải thiện – Nâng cao hiệu suất của phần mềm, củng cố tính ổn định và tăng cường khả năng phục hồi của phần mềm, đóng góp lại cho cộng đồng => nâng cao danh tiếng, sự tin tưởng và công nhận cho doanh nghiệp
  • 5. 5 SBC 2024, Phú Quốc, 28-29/9/2024 Quản lý lỗ hổng nguồn mở là gì? ● Lỗ hổng phần mềm tương tự như lỗi trong mã, giống ổ khóa cửa bị lỗi. – Thường không phải là cố ý, là điểm yếu trong mã hoặc thiết kế – Có thể bị khai thác để xâm phạm tính bảo mật của hệ thống – Liên quan đến chính dự án hoặc các phần phụ thuộc của dự án. ● Nguồn gốc các lỗi bảo mật – Cấu hình và thiết lập không an toàn – CVE (lỗi kỹ thuật/lỗ hổng phần mềm) – Lỗi con người ● Quản lý lỗ hổng nguồn mở là một quy trình bảo mật CNTT nhằm tìm ra lỗ hổng trong cơ sở hạ tầng CNTT, phân loại mức độ nghiêm trọng của chúng và ngoài ra, cung cấp danh sách các hành động cần thực hiện để giải quyết các lỗ hổng. Mục tiêu là loại bỏ các lỗ hổng để chúng không còn có thể gây ra rủi ro nữa.
  • 6. 6 SBC 2024, Phú Quốc, 28-29/9/2024 Điều tra hiện trạng quản trị rủi ro nguồn mở tại các doanh nghiệp CNTT ● Mục tiêu: tìm hiểu mối quan tâm và nhu cầu của các doanh nghiệp cung cấp sản phẩm và dịch vụ phần mềm trong việc quản trị rủi ro nguồn mở, sau đó đưa ra đánh giá và đề xuất hướng giải quyết. ● Đối tượng: CEO hoặc CTO của các doanh nghiệp thành viên VFOSSA ● Hình thức: online qua Google Form, mời cá nhân đích danh ● Thời gian: 11-18/8/2024, gửi: 23, tham gia: 19 (82,6%) ● Nội dung điều tra: – Trải nghiệm sự cố liên quan thành phần nguồn mở – Thực hành quản trị rủi ro nguồn mở tại doanh nghiệp hiện tại – Nhu cầu nâng cao nhận thức, đào tạo kỹ năng quản trị rủi ro nguồn mở
  • 7. 7 SBC 2024, Phú Quốc, 28-29/9/2024 Trải nghiệm sự cố liên quan thành phần nguồn mở ● Doanh nghiệp của bạn đã bao giờ gặp và phải xử lý sự cố bảo mật hoặc rắc rối pháp lý do thành phần nguồn mở sử dụng trong sản phẩm của doanh nghiệp gây ra chưa? – Phần lớn DN (73,7%) đã từng có ít nhiều trải nghiệm sự cố có nguyên nhân từ nguồn mở – 21,1% đã có nhiều trải nghiệm
  • 8. 8 SBC 2024, Phú Quốc, 28-29/9/2024 Hiện trạng thực hành quản trị rủi ro nguồn mở tại doanh nghiệp ● Doanh nghiệp của bạn có thực hiện quản trị rủi ro nguồn mở trong các dự án và sản phẩm phần mềm của mình không? – Chưa có trải nghiệm sự cố -> chưa quan tâm quản trị rủi ro !!!
  • 9. 9 SBC 2024, Phú Quốc, 28-29/9/2024 Trường hợp không/chưa thực hiện quản trị rủi ro nguồn mở ● Đâu là nguyên nhân? – Không quan tâm = chủ quan ! ● Có trù tính sẽ áp dụng quản trị rủi ro nguồn mở trong tương lai không? – Không = rất chủ quan !!
  • 10. 10 SBC 2024, Phú Quốc, 28-29/9/2024 Trường hợp doanh nghiệp có quản trị rủi ro nguồn mở ● Có nhân sự bảo mật không? – 57,1% có nhân sự chuyên trách = có ý thức tốt về quản trị rủi ro nguồn mở ● Phương pháp quản trị rủi ro nguồn mở đang áp dụng là gì? – Đại đa số (78.6%) sử dụng phương pháp thủ công -> độ tin cậy thấp
  • 11. 11 SBC 2024, Phú Quốc, 28-29/9/2024 Nhu cầu tăng cường năng lực quản trị rủi ro nguồn mở Nhu cầu cao về hỗ trợ nâng cao nhận thức về quản trị rủi ro nguồn mở (76,5%), đặc biệt về giới thiệu làm quen với công cụ phân tích thành phần phần mềm (88,2%)
  • 12. 12 SBC 2024, Phú Quốc, 28-29/9/2024 Đánh giá kết quả điều tra ● Rủi ro nguồn mở là hiện hữu với các DN CNTT Việt Nam ● Sự quan tâm (nhận thức) của DN với quản trị rủi ro nguồn mở còn ở mức thấp ● Thiếu nhân lực có kỹ năng quản trị rủi ro nguồn mở ● Thiếu chính sách nguồn mở, quy trình quản trị rủi ro nguồn mở ● Thiếu công ty cung cấp dịch vụ kiểm toán phần mềm ● Chưa biết tận dụng các công cụ phân tích thành phần phần mềm (SCA) tự động, hóa đơn vật liệu phần mềm (SBOM) để năng cao hiệu suất, hiệu quả quản trị rủi ro. ● Hạn chế: – Số lượng DN tham gia điều tra nhỏ (thành viên VFOSSA) – Điều tra nhanh, câu hỏi ít, chưa dám đi vào chi tiết – Đánh giá mang tính gợi mở, nêu vấn đề cần suy nghĩ
  • 13. 13 SBC 2024, Phú Quốc, 28-29/9/2024 Kinh nghiệm quốc tế về quản trị rủi ro nguồn mở ● Thiết lập Chiến lược nguồn mở cho mỗi công ty – Tài liệu hướng dẫn kết nối các kế hoạch quản lý, tham gia và tạo phần mềm nguồn mở với các mục tiêu kinh doanh mà các kế hoạch phục vụ (Hướng dẫn của Linux Foundation, https://www.linuxfoundation.org/resources/open-source-guides/setting-an-open-source-strategy ) ● Thành lập Văn phòng chương trình nguồn mở (Open Source Program Office) – nơi được chỉ định để hỗ trợ, nuôi dưỡng, chia sẻ, giải thích và phát triển nguồn mở bên trong công ty (Hướng dẫn của Linux Foundation, https://todogroup.org/resources/guides/how-to-create-an-open-source-program-office/ ) ● Các công ty, bất kể qui mô lớn hay nhỏ, đều nên có chiến lược nguồn mở và văn phòng chương trình nguồn mở cho riêng mình – Không có mẫu chung cho mọi công ty, cần tham khảo các ví dụ, hướng dẫn và áp dụng phù hợp với mỗi trường hợp cụ thể – Văn phòng chương trình nguồn mở Google: 15 người phục vụ cho 72.000 nhân viên
  • 14. 14 SBC 2024, Phú Quốc, 28-29/9/2024 Hướng dẫn quản lý lỗ hổng nguồn mở hiệu quả ● Bảo mật nguồn mở toàn diện với khung an ninh mạng NIST – NIST CSF (US National Institute of Standards and Technology Cybersecurity Framework) là một tiêu chuẩn công nghiệp về an ninh mạng của Mỹ. ● Các biện pháp thực hành tốt nhất (best practices) để quản lý lỗ hổng hiệu quả – Giảm thiểu lỗi của con người thông qua tự động hóa (sử dụng công cụ) – Bảo mật toàn bộ ngăn xếp, không phải các khối bị cô lập – Phòng ngừa thông qua cấu hình an toàn – Tạo thuận lợi cho vá lỗi – Tích hợp phát hiện mối đe dọa ● Tham khảo – Ubuntu, A guide to open source vulnerability management, https://ubuntu.com/engage/vulnerability-management – Greenbone, Open Source Vulnerability Management, https://www.greenbone.net/en/open-source-vulnerability-management/ –
  • 15. 15 SBC 2024, Phú Quốc, 28-29/9/2024 Một quá trình liên tục phòng thủ chống lại các mối đe dọa ● Phần mềm nguồn mở đã cách mạng hóa cách chúng ta phát triển và triển khai ứng dụng, nhưng điều cần thiết là phải nhận ra và quản lý các rủi ro liên quan. ● Quản lý rủi ro nguồn mở bao gồm các biện pháp chủ động để xác định và giảm thiểu các lỗ hổng, đảm bảo tuân thủ giấy phép và cuối cùng là cung cấp phần mềm an toàn hơn và chất lượng cao hơn. ● Bằng cách tận dụng các công cụ, tài nguyên cộng đồng và các biện pháp thực hành tốt nhất, các nhà quản lý bảo mật ứng dụng có thể điều hướng sự phức tạp của quản lý rủi ro nguồn mở một cách hiệu quả. Trong bối cảnh mối đe dọa không ngừng phát triển và mở rộng, việc đi trước các rủi ro nguồn mở là rất quan trọng để bảo vệ các ứng dụng và cơ sở hạ tầng của tổ chức bạn. (Nguồn: Aaron Linskens, Open source risk management: Safeguarding software integrity, https://www.sonatype.com/blog/open-source-risk-management)
  • 16. 16 SBC 2024, Phú Quốc, 28-29/9/2024 Một số kiến nghị cho doanh nghiệp CNTT ● Nâng cao nhận thức cho lãnh đạo doanh nghiệp về tầm quan trọng của quản trị rủi ro nguồn mở ● Học tập và làm theo những kinh nghiệm quốc tế về quản trị rủi ro nguồn mở, áp dụng sáng tạo và mềm dẻo vào thực tiễn doanh nghiệp, không nên nghĩ rằng mình nhỏ quá hay vì mình chưa gặp chuyện gì, phòng bệnh hơn chữa bệnh ● Tăng cường áp dụng các công cụ quét mã tự động (SCA), SBOM, ... theo thông lệ quốc tế để cải thiện chất lượng mã, giảm thiểu lỗ hổng bảo mật và/hoặc xung đột giấy phép của các thành phần nguồn mở ● Tăng cường chia sẻ, trao đổi cộng đồng về những cách làm hay, bài học sau sự cố, đóng góp cải thiện mã, bản vá an toàn, để chất lượng PMNM ngày càng cao và an toàn.
  • 17. 17 SBC 2024, Phú Quốc, 28-29/9/2024 Xin trân trọng cảm ơn !