XÂY DỰNG KHUNG ĐÁNH GIÁ AN TOÀN PHẦN MỀM MÃ NGUỒN MỞ DỰA TRÊN CHUỖI CUNG ỨNG PHẦN MỀM

Abstract

Xây dựng khung đánh giá an toàn phần mềm mã nguồn mở dựa trên chuỗi cung ứng phần mềm (A framework for assessing the security of open-source software based on the software supply chain).- Tóm tắt: Trong kỷ nguyên số, phần mềm mã nguồn mở (OSS-Open Source Software) đã trở thành hạ tầng cốt lõi, hiện diện trong hầu hết các hệ thống công nghệ thông tin hiện đại. Tuy nhiên, sự phụ thuộc sâu sắc này đã hình thành những rủi ro mang tính hệ thống trong chuỗi cung ứng phần mềm (SSCS-Software Supply Chain Security), biến đây thành mục tiêu trọng yếu của các cuộc tấn công có chủ đích và tinh vi. Luận văn này tập trung nghiên cứu và thiết lập một Khung đánh giá (AF- Assessment framework) an toàn chuỗi cung ứng phần mềm dành riêng cho các dự án mã nguồn mở, dựa trên các nguyên tắc của tiêu chuẩn quốc tế OWASP ASVS 5.0.0 (ASVS-Application Security Verification Standard) . Mục tiêu trọng tâm của nghiên cứu là hệ thống hóa các tiêu chí kiểm soát an toàn theo phiên bản mới nhất của tiêu chuẩn ASVS 5.0.0 – một cột mốc quan trọng với những cập nhật chuyên sâu về kiến trúc bảo mật và quản trị rủi ro chuỗi cung ứng. Luận văn đi sâu vào phân tích các mắt xích yếu nhất: từ khâu quản lý thư viện bên thứ ba, đảm bảo tính toàn vẹn mã nguồn, đến quy trình đóng gói và phân phối thành phẩm. Về mặt phương pháp luận, tác giả thực hiện khảo sát các quy trình hiện hữu, kết hợp với việc bóc tách và định lượng hóa các yêu cầu bảo mật trong ASVS 5.0.0 để xây dựng một Khung đánh giá toàn diện. Giải pháp đề xuất không chỉ giới hạn ở việc phân tích mã nguồn tĩnh (SAST- Static Application Security Testing) mà còn mở rộng kiểm soát danh mục thành phần phần mềm (SBOM-Software Bill of Materials), xác thực chữ ký số và đánh giá mức độ tin cậy của các thực thể trong chuỗi cung ứng. Kết quả nghiên cứu được thực nghiệm trên một dự án mã nguồn mở thực tế, qua đó chứng minh tính khả thi và hiệu quả trong việc nhận diện sớm các lỗ hổng tiềm ẩn. Luận văn không chỉ cung cấp một công cụ đánh giá có hệ thống cho các nhà phát triển và tổ chức mà còn góp phần chuẩn hóa việc áp dụng các tiêu chuẩn an toàn quốc tế vào thực tiễn phát triển phần mềm tại Việt Nam, tạo nền tảng vững chắc cho việc xây dựng các hệ sinh thái phần mềm an toàn và bền vững. In the digital era, Open-Source Software (OSS-Open Source Software) has emerged as a core infrastructure, integrated into nearly all modern information technology systems. However, this profound reliance has introduced systemic risks within the Software Supply Chain (SSCS- Software Supply Chain Security), rendering it a primary target for sophisticated and targeted cyberattacks. This thesis focuses on researching and establishing a Software Supply Chain Security Evaluation Framework (AF- Assessment framework) specifically tailored for open-source projects, grounded in the principles of the international OWASP ASVS 5.0.0 standard. The central objective of this research is to systematize security control criteria according to the latest version of the ASVS 5.0.0—a milestone standard featuring in-depth updates on security architecture and supply chain risk management. The dissertation delves into analyzing the most vulnerable links: from third-party library management and source code integrity to the final packaging and distribution processes. Regarding methodology, the author conducts a survey of existing processes, combined with the decomposition and quantification of security requirements within ASVS 5.0.0 to construct a comprehensive Evaluation Framework. The proposed solution transcends traditional Static Application Security Testing (SAST-Static Application Security Testing) by extending controls to the Software Bill of Materials (SBOM Software Bill of Materials), digital signature verification, and the trust assessment of various entities participating in the supply chain. The research findings were empirically validated through a real-world open-source project, demonstrating both the feasibility and effectiveness of the framework in the early identification of potential security vulnerabilities. This thesis not only provides a systematic evaluation tool for developers and organizations but also contributes to standardizing the adoption of international security standards within Vietnam's software development landscape. Ultimately, it establishes a robust foundation for building secure and sustainable software ecosystems against increasingly complex cybersecurity challenges.