วันศุกร์ ที่ 10 กรกฎาคม 2569

Login
Login

AI เปลี่ยนเกม 'ไซเบอร์ซีเคียวริตี้' โจทย์ใหม่ของ 'โอเพนซอร์ส'

การเพิ่มขึ้นของช่องโหว่ความปลอดภัยและการใช้ AI ตรวจจับภัยคุกคาม ทำให้องค์กรต้องเร่งยกระดับการจัดการซอฟต์แวร์และซัพพลายเชน

คริส ไรท์ ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี และรองประธานอาวุโสฝ่ายวิศวกรรมระดับโลก เร้ดแฮท กล่าวว่า แม้ช่วงที่ผ่านมาองค์กรจะเผชิญข่าวเกี่ยวกับช่องโหว่แบบ zero-day และการใช้ AI เพื่อค้นหาช่องโหว่เพิ่มขึ้น จนเกิดคำถามเกี่ยวกับความปลอดภัยของซอฟต์แวร์โอเพนซอร์ส

แต่โอเพนซอร์สยังคงเป็นเทคโนโลยีที่มีความปลอดภัยโดยพื้นฐาน และเป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานด้านไอที

‘โอเพ่นซอร์ส’ รากฐานระบบไอที

ปัจจุบัน ซอฟต์แวร์โอเพ่นซอร์สคิดเป็นสัดส่วนเฉลี่ยมากกว่าสามในสี่ของซอร์สโค้ดที่องค์กรใช้พัฒนาซอฟต์แวร์หรือระบบภายใน ตั้งแต่ระบบปฏิบัติการ แอปพลิเคชันเซิร์ฟเวอร์ ฐานข้อมูล ระบบเครือข่าย ไปจนถึงเครื่องมือพัฒนาซอฟต์แวร์และองค์ประกอบเบื้องหลังของโครงสร้างพื้นฐานดิจิทัล

คริสระบุว่า ซอฟต์แวร์กรรมสิทธิ์แม้เป็นอีกทางเลือกหนึ่ง แต่ยังมีข้อจำกัดเมื่อเทียบกับโอเพ่นซอร์ส ทั้งในด้านขนาด ความหลากหลาย และการใช้งานในวงกว้าง

นอกจากนี้ ซอร์สโค้ดของซอฟต์แวร์กรรมสิทธิ์เปิดให้ตรวจสอบได้เฉพาะผู้พัฒนา ทำให้การค้นพบและแก้ไขช่องโหว่ขึ้นอยู่กับผู้จำหน่ายเพียงฝ่ายเดียว

ขณะที่โอเพนซอร์สเปิดให้ทุกฝ่ายเข้าถึงซอร์สโค้ด ตรวจสอบ รายงาน และร่วมแก้ไขปัญหาได้ ส่งผลให้ชุมชนผู้พัฒนาสามารถช่วยกันค้นหาและอุดช่องโหว่ได้รวดเร็วขึ้น รวมถึงการนำ AI มาใช้เพิ่มประสิทธิภาพการตรวจสอบโค้ด

'ช่องโหว่' ถูกแก้ไขไม่ถึง 1%

แม้ไม่มีแนวทางพัฒนาซอฟต์แวร์ใดที่ปลอดภัยได้อย่างสมบูรณ์ แต่ความโปร่งใสของโอเพ่นซอร์สทำให้สามารถรับมือภัยคุกคามได้มีประสิทธิภาพมากขึ้น

คริสระบุว่า ตั้งแต่ปี 2559 จำนวนช่องโหว่ที่ได้รับการเปิดเผยต่อสาธารณะ (CVEs) เพิ่มขึ้นกว่า 520% ขณะที่เครื่องมือ AI สามารถค้นพบช่องโหว่ระดับ zero-day ได้ภายในเวลาเพียงไม่กี่ชั่วโมง จากเดิมที่อาจใช้เวลาหลายเดือน

อย่างไรก็ตาม ช่องโหว่ที่ AI ค้นพบได้รับการแก้ไขหรือแพตช์ไม่ถึง 1% สะท้อนว่าปัญหาหลักไม่ได้อยู่ที่การค้นพบช่องโหว่ แต่เป็นความสามารถขององค์กรในการทดสอบและนำแพตช์ไปใช้งานได้อย่างรวดเร็ว

อีกประเด็นสำคัญคือ องค์กรจำนวนมากใช้งานแพ็กเกจโอเพ่นซอร์สชุดเดียวกัน เช่น Spring Framework, Jackson, Log4j, Pandas และ OpenSSL แต่กลับตรวจสอบช่องโหว่และพัฒนาแพตช์แยกกัน ส่งผลให้เกิดต้นทุนซ้ำซ้อนและคุณภาพการแก้ไขที่ไม่สม่ำเสมอ

เร้ดแฮทจึงมองว่า การรักษาความปลอดภัยของซัพพลายเชนซอฟต์แวร์จำเป็นต้องอาศัยความร่วมมือกับชุมชนผู้พัฒนาต้นน้ำ (upstream communities) เพื่อยกระดับมาตรฐานการดูแลความปลอดภัยร่วมกัน

กลยุทธ์ปลดล็อกซอฟต์แวร์องค์กร

คริสเสนอแนวทางที่องค์กรสามารถนำไปใช้เพื่อยกระดับความปลอดภัยของซัพพลายเชนซอฟต์แวร์ ได้แก่ เลือกใช้แพลตฟอร์มจากผู้ให้บริการที่มีส่วนร่วมกับโครงการโอเพ่นซอร์สอย่างต่อเนื่อง มีการทำ security backport และมีกระบวนการแจ้งเตือนช่องโหว่อย่างรับผิดชอบ

รวมไปถึง จัดทำรายการส่วนประกอบของซอฟต์แวร์ทั้งหมด รวมถึงไลบรารีโอเพ่นซอร์ส ส่วนประกอบที่เกี่ยวเนื่องกัน (transitive dependencies) และเวอร์ชันที่ใช้งานจริง

นอกจากนี้ วัดระยะเวลาตั้งแต่ต้นทางเผยแพร่แพตช์จนถึงการติดตั้งใช้งานจริง พร้อมกำหนดเป้าหมายลดระยะเวลาดังกล่าว ทำกระบวนการ rebuild และ redeploy ซอฟต์แวร์ให้เป็นอัตโนมัติ เพื่อรองรับการอัปเดตที่รวดเร็ว

พร้อมใช้โซลูชันด้านความปลอดภัยเชิงรุก เช่น ระบบที่มี zero-CVE baselines และการป้องกันขณะทำงาน (runtime protection)

เปิดตัว ‘Project Lightwell’

เร้ดแฮทและไอบีเอ็มเปิดตัว Project Lightwell เพื่อพัฒนากลไกช่วยแก้ไขช่องโหว่ (remediation engine) สำหรับซัพพลายเชนซอฟต์แวร์ โดยระบุว่าโครงการได้รับการสนับสนุนจากการลงทุนมูลค่า 5 พันล้านดอลลาร์ และมีทีมวิศวกรกว่า 20,000 คนร่วมพัฒนา

Project Lightwell ขยายแนวทางการทำ backporting ซึ่งเร้ดแฮทใช้กับระบบปฏิบัติการมายาวนานกว่า 20 ปี ไปยังเฟรมเวิร์กและแพ็กเกจโอเพ่นซอร์สในระดับแอปพลิเคชัน เริ่มจากระบบ Maven/Java ก่อนขยายไปยัง PyPI, npm และแพลตฟอร์มอื่น

แนวทางดังกล่าวใช้ AI ร่วมกับวิศวกรในการวิเคราะห์และพัฒนาแพตช์เฉพาะจุด (surgical fixes) บนเวอร์ชันที่องค์กรใช้งานจริง เพื่อลดความจำเป็นในการอัปเกรดซอฟต์แวร์เป็นเวอร์ชันใหม่ทั้งหมด ซึ่งอาจกระทบต่อเสถียรภาพของระบบ

สร้างความร่วมมือ ‘ซัพพลายเชนซอฟต์แวร์’

เร้ดแฮทระบุว่า หากองค์กรพัฒนาแพตช์ใช้เองโดยไม่ส่งกลับไปยังโครงการต้นน้ำ จะทำให้ต้องแบกรับภาระการดูแลโค้ดดังกล่าวในระยะยาว

Project Lightwell จึงกำหนดแนวทางส่งแพตช์กลับสู่โครงการโอเพ่นซอร์สต้นทาง เพื่อให้การแก้ไขกลายเป็นส่วนหนึ่งของซอร์สโค้ดสาธารณะ ลดการแตกแขนงของโค้ดและช่วยยกระดับความปลอดภัยของระบบนิเวศโดยรวม

นอกจากนี้ โครงการยังมุ่งสร้างศูนย์กลางแลกเปลี่ยนข้อมูลด้านความปลอดภัยระหว่างองค์กรในภาคการเงินและโครงสร้างพื้นฐานสำคัญ

โดยสมาชิกสามารถแบ่งปันข้อมูลช่องโหว่ รับแพตช์ที่ผ่านการประสานงานก่อนเผยแพร่สู่สาธารณะ พร้อมรองรับการจัดทำ machine-readable SBOM, cryptographic signature และเอกสารด้านความปลอดภัยเพื่อสนับสนุนการปฏิบัติตามข้อกำหนด

คริสกล่าวทิ้งท้ายว่า การรักษาความปลอดภัยของซัพพลายเชนซอฟต์แวร์เป็นความท้าทายร่วมของทั้งอุตสาหกรรม และการทำงานร่วมกันผ่านชุมชนโอเพ่นซอร์สจะช่วยให้การแก้ไขช่องโหว่เกิดขึ้นได้รวดเร็วขึ้น พร้อมยกระดับความปลอดภัยของระบบนิเวศโอเพนซอร์สในระยะยาว