Việc sử dụng các giải pháp miễn phí hoặc mã nguồn mở trong thị trường CNTT thường gắn liền với những lợi ích như giảm chi phí và tính linh hoạt, nhưng một loạt các trường hợp đã làm dấy lên những lo ngại, đặc biệt là về vấn đề bảo mật, trong quyết định áp dụng các hệ thống này. Một trong những diễn biến mới nhất về vấn đề này là việc xác nhận vào đầu tháng 5 về sự liên quan của thư viện phần mềm mã nguồn mở "easyjson" với các nhà phát triển từ nhóm VK của Nga, một nhóm có tầm ảnh hưởng và vị thế được so sánh với Facebook tại quốc gia này. Vì thư viện này được sử dụng rộng rãi trong các dự án quan trọng như Kubernetes, Istio và Grafana, nên có lo ngại rằng nó có thể bị xâm phạm vì mục đích địa chính trị thông qua hoạt động gián điệp hoặc tấn công mạng, đặc biệt là trong các lĩnh vực nhạy cảm như quốc phòng và tài chính.
Đối với Rodrigo Gazola, CEO và người sáng lập ADDEE, một công ty đã hoạt động trong lĩnh vực giải pháp quản lý CNTT suốt 30 năm, vụ việc “easyjson” chỉ là một ví dụ khác củng cố thêm mối lo ngại của các công ty về các giải pháp mã nguồn mở. Ông cho biết: “Việc các cấu trúc công nghệ này được công khai, cho phép bất kỳ ai (kể cả tin tặc) nghiên cứu chúng và tìm kiếm các lỗ hổng, là một yếu tố rủi ro lớn, đặc biệt là vì hầu hết các giải pháp mã nguồn mở không cung cấp hỗ trợ chính thức miễn phí, điều này có thể khiến các công ty hoàn toàn bất lực trong những tình huống khẩn cấp, chỉ phụ thuộc vào các diễn đàn và cộng đồng.”
Gazola dẫn chứng các trường hợp gần đây khác liên quan đến các chương trình mã nguồn mở. Tháng 12 năm ngoái, dự án Ultralytics YOLO, một thư viện trí tuệ nhân tạo mã nguồn mở, đã bị xâm phạm thông qua một lỗ hổng trong các tập lệnh tự động hóa GitHub Actions. Kẻ tấn công đã khai thác lỗ hổng này để chèn mã độc vào các phiên bản phần mềm được phân phối. Trước đó, vào tháng 10 năm 2024, tội phạm mạng đã phát hành hàng trăm gói độc hại trên kho lưu trữ NPM, sử dụng tên tương tự như các thư viện hợp pháp (một kỹ thuật được gọi là typosquatting). Mục tiêu là lừa các nhà phát triển cài đặt các gói bị xâm phạm này, cho phép mã độc chạy trên hệ thống của họ.
Theo ông, kịch bản đáng lo ngại này đã dẫn đến sự gia tăng nhu cầu từ các công ty Brazil đối với các giải pháp được cung cấp bởi các nhà sản xuất được công nhận là an toàn và tiết kiệm. Xét cho cùng, khi lựa chọn các công cụ miễn phí hoặc mã nguồn mở, các tổ chức buộc phải đối mặt với sự phức tạp khi phải tự phát triển cấu hình của phần lớn hệ thống, điều này tiêu tốn thời gian và năng lượng để đổi lấy lợi ích được cho là giảm chi phí cuối cùng phải trả cho giải pháp. Thêm vào đó, họ vẫn cần phải tính đến chi phí lưu trữ và bảo trì, nếu các nền tảng mở này cũng tiềm ẩn rủi ro rò rỉ thông tin, thì tỷ lệ lợi ích/chi phí sẽ bị ảnh hưởng đáng kể.
Vị giám đốc điều hành cho biết ông đã nhận thấy xu hướng tìm kiếm nhà sản xuất trong thị trường nhà cung cấp dịch vụ CNTT, hay còn gọi là MSP, nhờ sự đón nhận tích cực đối với các giải pháp như HaloPSA và N-Able, cả hai đều được đưa vào Brazil thông qua các mối quan hệ đối tác độc quyền giữa ADDEE và các thương hiệu toàn cầu. Theo ông Gazola, việc sản phẩm được bán hoàn toàn bằng đồng nội tệ giúp loại bỏ rủi ro biến động tỷ giá đô la, mang lại sự ổn định tài chính trong một thị trường phụ thuộc nhiều vào các hợp đồng dài hạn và doanh thu định kỳ.
“Ngoài việc giúp các công ty không phải thực hiện việc cấu hình giải pháp và không phải lo lắng về chi phí lưu trữ và bảo trì, các đối tác như HaloPSA và N-Able còn đảm bảo rằng các công ty không gặp phải sự gián đoạn do bất kỳ hình thức lạm dụng nào đối với các công nghệ mở và không được bảo vệ,” ông giải thích.
Giám đốc điều hành của ADDEE nhấn mạnh rằng việc thiếu các kế hoạch dự phòng trong trường hợp xảy ra sự cố hoặc lừa đảo khi sử dụng phần mềm mã nguồn mở đã cản trở việc áp dụng nó và khuyến khích việc tìm kiếm các giải pháp thay thế đáng tin cậy hơn, phù hợp với ngân sách.
