Anthropic, AWS, IBM и Microsoft создали альянс Akrites для поиска уязвимостей в open-source
Коалиция технологических компаний, включая Anthropic, AWS, IBM и Microsoft, объявила о совместной инициативе по поиску, раскрытию и устранению уязвимостей в open-source программном обеспечении.
Группа под названием Akrites создаст общую команду реагирования на инциденты безопасности, а также согласованный процесс раскрытия уязвимостей.
Компании-учредители, во главе с Linux Foundation, направят на эту работу значительные ресурсы, включая финансирование, инженеров и экспертизу в области кибербезопасности.
По словам представителей, план был в первую очередь вызван появлением frontier AI models, которые радикально ускорили поиск уязвимостей в критически важном ПО. В последние месяцы злоумышленники уже демонстрировали способность применять AI для сложных атак.
Существующая экосистема open-source не успевает достаточно быстро находить и устранять уязвимости, чтобы защитить миллионы пользователей от потенциальных атак. Свои опасения группа изложила в открытом письме индустрии.
«Искусственный интеллект разрушил прежний баланс между атакующими и защитниками, изменив соотношение простоты и повторного использования программного обеспечения», — написала коалиция в письме.
Задержка с раскрытием уязвимостей
По словам Кристофера Робинсона, CTO Open Source Security Foundation и главного архитектора безопасности Linux Foundation, Akrites призван решить часть системных проблем, с которыми сталкивается сообщество open-source при выстраивании скоординированного процесса раскрытия уязвимостей.
Появление large language models и продвинутых инструментов сканирования в последние годы сделало все эти исторические проблемы еще серьезнее.
«В upstream-проекты поступает поток отчетов об уязвимостях разного качества, который намного превышает способность этих волонтерских разработчиков оценивать их и успевать за ними», — сказал Робинсон Cybersecurity Dive.
Первичное финансирование Akrites предоставит Alpha Omega — направленный фонд при Linux Foundation. Другие организации просят предоставить дополнительные ресурсы или инженерные кадры.
Сообщество open-source в последние годы все сильнее обеспокоено тем, что традиционные мейнтейнеры не могут быстро находить и раскрывать уязвимости, чтобы предотвратить массовые supply chain attacks.
Варун Бадхвар, сооснователь и CEO Endor Labs, заявил, что более 23 000 уязвимостей были обнаружены всего через месяц после объявления Project Glasswing, затронув около 1 000 проектов open-source. В их числе около 6 000 уязвимостей, которые считались высокоопасными или критическими.
Кроме того, партнеры Glasswing нашли еще 10 000 высокоопасных или критических уязвимостей. Исправлено лишь 5% этих уязвимостей.
«Ни одна волонтерская экосистема не была создана, чтобы это переварить», — сказал Бадхвар Cybersecurity Dive.
Среди других компаний-учредителей Akrites — Cisco, Citi, JPMorgan Chase, NVIDIA, OpenAI, Ericsson и другие.
Материал — перевод статьи с английского.
Оригинал: Software, AI companies form alliance to tackle open-source security flaws