When the Code Stays Clean and Trust Collapses Anyway
Bài viết phân tích rủi ro bảo mật nguồn mở không chỉ dừng ở quét malware mà còn xoay quanh chuỗi quản trị mã: duy trì người bảo trì, kiểm soát registry, quản trị phát hành và động lực tài chính. Các chính sách của châu Âu như Cyber Resilience Act (CRA) và NIS2 đang xây dựng hệ thống truy xuất nguồn gốc, với hạn chót áp dụng từ tháng 9/2026. Các bản phân phối Linux như openSUSE đã triển khai hầu hết biện pháp đảm bảo (build ký, reproducible builds, advisory bảo mật) nhưng cần làm rõ bằng chứng kỹ thuật cho cơ quan quản lý.
Lập trình viên nên đọc bài này để hiểu cách các chính sách châu Âu như Cyber Resilience Act (CRA) và NIS2 không chỉ đòi hỏi kiểm tra mã, mà còn kiểm soát toàn bộ chuỗi quyền lực, từ người duy trì mã đến quản trị phát hành, để xây dựng sự tin cậy thực sự trong các dự án open-source.