Linux Foundation недавно объявил, что запустил новый проект под названием «Akrites» с рядом технологических гигантов, финансовых учреждений и поставщиков систем безопасности, целью которого является усиление защитных возможностей критически важного программного обеспечения с открытым исходным кодом в эпоху, когда искусственный интеллект и большие языковые модели широко используются для поиска уязвимостей. Благодаря передовым моделям искусственного интеллекта, способным обнаруживать недостатки программного обеспечения с гораздо большей скоростью и масштабом, чем когда-либо прежде, давление на безопасность инфраструктуры с открытым исходным кодом быстро растет, и Akrites позиционируется как скоординированная на отраслевом уровне программа по исправлению и раскрытию уязвимостей.
Согласно информации, опубликованной Linux Foundation, основная цель Akrites — создать единый, стандартизированный и скоординированный процесс раскрытия уязвимостей, в котором приоритет отдается конфиденциальности в широко используемых ключевых проектах с открытым исходным кодом, а также быстро реагировать на уязвимости безопасности, обнаруженные с помощью ИИ, через централизованный механизм реагирования на инциденты безопасности. Проект будет сосредоточен на компонентах с открытым исходным кодом, которые поддерживают критически важную инфраструктуру, такую как телекоммуникации, финансы, медицинское обслуживание и энергетика, и будет стремиться работать с вышестоящими специалистами по обслуживанию, чтобы завершить ремонт до того, как уязвимости будут использованы злоумышленниками.
В качестве вспомогательной организации Akrites будет действовать как общая группа реагирования на инциденты безопасности (SIRT) и обеспечивать единый канал координации для серьезных уязвимостей, предотвращая появление множественных и повторяющихся отчетов от разных компаний и учреждений, сопровождающих открытый исходный код, и повышая эффективность реагирования. В этой модели процесс обработки уязвимостей останется конфиденциальным, а исправления будут передаваться обратно в исходный процесс сопровождения проекта, чтобы гарантировать, что исправления внедряются в правильной версии и в правильном ритме выпуска. Для критически важных пакетов программного обеспечения, у которых уже нет активных сопровождающих, но на которые все еще широко полагаются, Akrites также будет выступать в роли «последнего сопровождающего», координируя и при необходимости внося исправления в основные выпуски.
Проект получил широкую отраслевую поддержку, а среди первых участников — Amazon Cloud Technology (AWS), Anthropic, Chainguard, Cisco, Citigroup, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft и ее GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler. Эти участники охватывают поставщиков облачных услуг, лаборатории искусственного интеллекта, финансовые учреждения и поставщиков средств обеспечения безопасности цепочки поставок программного обеспечения, что отражает консенсус и обеспокоенность отрасли по поводу рисков безопасности с открытым исходным кодом в эпоху искусственного интеллекта.
Linux Foundation отметил, что в прошлом из-за отсутствия единой координации несколько групп безопасности часто инициировали независимые отчеты и попытки устранения уязвимостей в одном и том же компоненте с открытым исходным кодом, что приводило к тому, что сопровождающим приходилось неоднократно обмениваться информацией, проверять и объединять исправления, что не только замедляло скорость восстановления, но также увеличивало риск появления разветвленных исправлений и последующей фрагментации. Akrites интегрирует результаты различных организаций в процесс координации через централизованные каналы и общие цепочки инструментов, что не только снижает нагрузку на сопровождающих, но также помогает избежать «разрозненного» подхода к исправлению в частных филиалах и усиливает унифицированный ремонт на восходящем направлении.
В контексте безопасности ИИ Акритес подчеркивает идею «совместного обновления защитников»: с одной стороны, передовые модели ИИ стали важным инструментом для обнаружения уязвимостей с открытым исходным кодом, помогая командам безопасности проверять сложные стеки программного обеспечения в автоматическом режиме; с другой стороны, злоумышленники также могут использовать аналогичные технологии для сканирования и использования этих недостатков в качестве оружия в более крупных масштабах. Linux Foundation считает, что при таких изменениях в условиях атаки и защиты необходим новый механизм отраслевого уровня, чтобы гарантировать, что ритм восстановления ключевого программного обеспечения с открытым исходным кодом может идти в ногу со скоростью обнаружения уязвимостей с помощью ИИ, а также не допускать раскрытия инфраструктуры крупномасштабных уязвимостей, которые можно использовать, за короткий период времени.
В настоящее время проект Akrites запущен на официальном сайте и приступил к работе. В будущем он будет постепенно расширять охват ключевых компонентов с открытым исходным кодом и устанавливать отношения сотрудничества с большим количеством сообществ и учреждений. Хотя конкретное влияние этого проекта на общую ситуацию с экологической безопасностью открытого исходного кода в краткосрочной перспективе еще предстоит увидеть, Linux Foundation и его партнеры явно надеются обеспечить новую системную линию защиты для цепочки поставок с открытым исходным кодом в эпоху искусственного интеллекта путем создания высокоскоординированной платформы устранения уязвимостей, ориентированной на конфиденциальность.
узнать больше:
https://akrites.org/
https://akrites.org/linux-foundation-and-industry-leaders-launch-akrites-to-defend-critical-open-source-software-against-ai-enabled-cyber-threats/