Анонс програми Akrites для покращення безпеки Open Source
Анонс програми Akrites для покращення безпеки Open Source
У зв’язку з численними вразливостями, виявленими в open-source проектах, Linux Foundation разом з провідними технологічними компаніями оголосила про запуск програми Akrites. Мета програми полягає у вдосконаленні звітності, усуненні та розкритті критичних вразливостей у open-source програмному забезпеченні.
Виклики виявлення вразливостей в open-source
Запуск програми відбувається на фоні прискорення виявлення вразливостей завдяки AI-інструментам. Це дозволяє захисникам виявляти проблеми раніше, однак призводить до надмірної кількості звітів, багато з яких є дубльованими, неповними або складними для перевірки.
Створення команди реагування на інциденти
Akrites встановлює спільну команду реагування на інциденти безпеки та стандартизований процес Coordinated Vulnerability Disclosure для ключових open-source проектів. Це забезпечить відповідальність в обробці серйозних проблем та координацію розкриття вразливостей.
За інформацією Linux Foundation, ініціатива підтримується великим списком засновників, серед яких Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft та інші.
Важливість координації в open-source безпеці
Проект реагує на занепокоєння, що виявлення вразливостей випереджає традиційні робочі процеси реагування в open-source. ЛЛМ та інші AI-інструменти дають змогу дослідникам сканувати код і генерувати звіти. Але багато FOSS проектів обслуговуються маленькими командами або волонтерами, які можуть не мати ресурсів для належного управління збільшенням звітів про безпеку.
Це створює загальне вузьке місце в безпеці open-source. Виявлення є лише першим кроком; наступні етапи необхідно пройти: перевірка, оцінка, виправлення та координація дій з постачальниками.
Впровадження принципів конфіденційності
Akrites планує стати надійним координуючим рівнем. Він застосовуватиме принципи конфіденційності в першу чергу і використовуватиме діючі галузеві стандарти, такі як CVE, TLP, CVSS.
Готовність до підтримки критичних пакетів
Проект також може обслуговувати як “обслуговувач останньої надії” для критичних пакетів без активних підрядників. Це важливо, оскільки залишені без уваги або погано обслуговувані залежності є постійною проблемою в open-source ланцюзі постачання.
Зростаючі загрози від нових AI моделей
Запуск програми збігається із зростаючими занепокоєннями щодо нових AI моделей і кібербезпеки. Обмеження на моделі Anthropic підкреслюють страхи, що фронтальні AI можуть прискорити проведення атак, таких як виявлення вразливостей.
Потреба в покращеній координації від співтовариства Open Source
Akrites є оборонною реакцією: оскільки AI прискорює виявлення дефектів, open-source спільноті необхідна покращена координація для усунення вразливостей, перш ніж їх можуть використати зловмисники.
Співпраця з підтримуючими організаціями
Успіх програми залежатиме від ефективної співпраці з підтримуючими організаціями. Якщо Akrites зможе знизити кількість дублікатів звітів, вдосконалити координацію патчів і пришвидшити усунення проблем, програма має потенціал доповнити існуючі ініціативи безпеки open-source.
Час покаже, чи зможе Akrites виконати свої обіцянки.
