GitHub Advisory Database đối mặt với kỷ lục về số lượng lỗ hổng bảo mật: Thách thức và giải pháp

Trong tháng 5/2026, GitHub Advisory Database đã công bố 1.560 bản tin tư vấn bảo mật (advisory) đã qua kiểm duyệt—con số cao nhất trong lịch sử và gấp 5 lần so với sản lượng trung bình hàng tháng. Tuy nhiên, con số này vẫn chưa đủ để bắt kịp tốc độ gia tăng của các báo cáo lỗ hổng hiện nay.

Sự thay đổi về quy mô

Hệ sinh thái bảo mật đang chứng kiến sự thay đổi căn bản. Từ tháng 3 đến tháng 5/2026, GitHub đã duy trì hơn 6.000 quyết định xử lý advisory mỗi tháng. Sự gia tăng này đến từ mọi nguồn: báo cáo lỗ hổng riêng tư (private vulnerability reports), repository advisories và các yêu cầu cấp CVE. Cụ thể, các yêu cầu CVE thông qua GitHub CNA đã tăng gấp 10 lần so với cùng kỳ năm ngoái, với hơn 30.000 CVE được công bố chỉ trong năm 2026.

Thách thức trong công tác kiểm duyệt

Việc kiểm duyệt không chỉ đơn thuần là xuất bản dữ liệu mà là quá trình xác thực con người (human-validated). Các chuyên gia của GitHub phải thực hiện nhiều công việc phức tạp như:

• Phân loại gói tin (Package disambiguation): Xác định chính xác gói tin thuộc hệ sinh thái nào (npm, PyPI, Maven…).
• Tái cấu trúc phạm vi phiên bản: Truy vết commit và lịch sử phát hành để xác định phiên bản bị ảnh hưởng.
• Xử lý đa hệ sinh thái: Kiểm chứng các lỗ hổng ảnh hưởng đến nhiều nền tảng cùng lúc.
• Giải quyết mâu thuẫn dữ liệu: Đối chiếu thông tin từ CVE, nhà phát triển và lịch sử commit để tìm ra sự thật.

Khi khối lượng công việc tăng lên, các bản tin phức tạp chiếm nhiều thời gian hơn, tạo ra hiệu ứng tích tụ trong hàng đợi xử lý.

GitHub đang làm gì để thích ứng?

Để duy trì chất lượng dữ liệu trong khi vẫn đảm bảo tốc độ, GitHub đang triển khai các giải pháp:

• Tối ưu hóa quy trình: Tăng cường khả năng của hệ thống backend và hiện đại hóa hạ tầng dữ liệu.
• Hỗ trợ bởi AI: Triển khai các công cụ AI hỗ trợ nghiên cứu, giúp chuyên gia xử lý các tác vụ lặp lại nhanh hơn nhưng vẫn giữ quyền quyết định cuối cùng.
• Tự động hóa thông minh: Cải thiện khả năng trích xuất dữ liệu từ các nguồn CVE upstream.
• Ưu tiên dựa trên rủi ro: Tập trung nguồn lực vào các lỗ hổng có tác động lớn hoặc đang bị khai thác tích cực.

Cộng đồng có thể hỗ trợ như thế nào?

Để giảm bớt áp lực và tăng tốc độ xử lý, GitHub khuyến nghị các nhà nghiên cứu và bảo trì dự án:

• Cung cấp dữ liệu đầy đủ: Bao gồm phạm vi phiên bản bị ảnh hưởng, nguyên nhân gốc rễ và các bước tái hiện lỗ hổng rõ ràng.
• Sử dụng tên gói tin chính xác: Đảm bảo tên gói tin khớp với registry (ví dụ: npm, PyPI) thay vì tên repository.
• Cung cấp chuỗi vector CVSS đầy đủ: Giúp việc đánh giá mức độ nghiêm trọng chính xác và nhất quán hơn.
• Phân loại CWE chi tiết: Giúp các công cụ bảo mật hạ nguồn hiểu rõ bản chất của lỗ hổng.
• Yêu cầu CVE có mục đích: Chỉ yêu cầu cấp CVE khi có ý định công bố và theo dõi lỗ hổng đó một cách công khai.

GitHub khẳng định rằng các cảnh báo hiện tại của Dependabot vẫn hoạt động bình thường và chất lượng của các bản tin đã qua kiểm duyệt vẫn được đảm bảo theo tiêu chuẩn cao nhất.

Nguồn tham khảo: GitHub Blog