Репортаж от Wedoany,Технологические компании Anthropic, Amazon Web Services (AWS), IBM и Microsoft совместно объявили о запуске инициативы, направленной на поиск, раскрытие и устранение уязвимостей безопасности в программном обеспечении с открытым исходным кодом.

Организация, получившая название Akrites, ставит своей основной задачей создание общей команды реагирования на инциденты безопасности и совершенствование процесса координированного раскрытия уязвимостей. Альянс возглавляется Фондом Linux (Linux Foundation), а его учредители выделят на эту работу значительные ресурсы, включая финансирование, инженерные кадры и экспертизу в области кибербезопасности.
По словам представителей, эта инициатива в значительной степени обусловлена передовыми моделями ИИ, которые значительно ускорили возможность обнаружения уязвимостей в ключевых программных приложениях. В то же время за последние месяцы злоумышленники продемонстрировали способность использовать ИИ в качестве оружия для сложных атак. Существующая экосистема открытого исходного кода не справляется со скоростью обнаружения и исправления уязвимостей, что ставит под угрозу защиту миллионов пользователей от потенциальных атак. В открытом письме к отрасли организация изложила некоторые из своих опасений.
«Искусственный интеллект нарушил прежний баланс между атакующими и защитниками, изменив ландшафт простоты использования и повторного использования программного обеспечения», — говорится в письме альянса.
Кристофер Робинсон (Christopher Robinson), технический директор Фонда безопасности открытого исходного кода (Open Source Security Foundation) и главный архитектор безопасности Фонда Linux, отметил, что Akrites призван решить некоторые системные проблемы, с которыми сталкивается сообщество открытого исходного кода при разработке процессов координированного раскрытия уязвимостей. Он указал, что появление в последние годы больших языковых моделей и сложных инструментов сканирования усугубило эти исторические проблемы.
«Верхнеуровневые проекты оказываются заваленными отчетами об уязвимостях разного качества, что значительно превышает возможности добровольных разработчиков по их оценке и обработке», — заявил Робинсон изданию Cybersecurity Dive.
Начальное финансирование Akrites будет предоставлено целевым фондом Alpha Omega, входящим в структуру Фонда Linux. Другим организациям предлагается предоставить дополнительные ресурсы или инженерные кадры.
В последние годы в сообществе открытого исходного кода растет обеспокоенность тем, что традиционные мейнтейнеры не могут достаточно быстро обнаруживать и раскрывать уязвимости, чтобы предотвратить широкомасштабные атаки на цепочки поставок. Варун Бадхвар (Varun Badhwar), сооснователь и генеральный директор Endor Labs, сообщил Cybersecurity Dive, что всего через месяц после объявления о проекте Glasswing было обнаружено более 23 000 уязвимостей, затронувших около 1 000 проектов с открытым исходным кодом. Около 6 000 из них были признаны уязвимостями высокой степени серьезности или критическими. Кроме того, партнеры Glasswing выявили еще 10 000 критических дефектов или дефектов высокой степени серьезности. Однако на сегодняшний день устранено лишь 5% этих уязвимостей.
«Ни одна экосистема добровольцев не выдержит такого напора», — отметил Бадхвар.
В число других компаний-учредителей Akrites также входят Cisco, Citi, JPMorgan Chase, Nvidia, OpenAI, Ericsson и другие.









