استجابة منسقة لمشهد أمني يتغير
أطلقت Linux Foundation مبادرة صناعية جديدة باسم Akrites، تهدف إلى تشديد الطريقة التي يتم بها اكتشاف الثغرات الأمنية والتحقق منها وإصلاحها في البرمجيات مفتوحة المصدر واسعة الاستخدام. وتجمع هذه الجهود نحو 20 شركة تقنية ومختبرات ذكاء اصطناعي ومؤسسات مالية حول فرضية بسيطة: لقد تغيرت اقتصاديات اكتشاف ثغرات البرمجيات، ويحتاج المدافعون إلى استجابة أكثر تنظيماً قبل أن يكتسب المهاجمون أفضلية أكبر.
ووفقاً للإعلان، أُنشئت Akrites لأن أنظمة الذكاء الاصطناعي الحديثة باتت قادرة الآن على فحص قواعد برمجية ضخمة خلال دقائق بدلاً من أسابيع. وهذه السرعة مهمة. فكان اكتشاف الثغرات يتطلب في السابق قدراً كبيراً من الخبرة والوقت لدى الطرفين، ما خلق نوعاً من التوازن التقريبي بين المهاجمين والمدافعين. وتنطلق Akrites من أن هذا التوازن يتغير. فإذا أصبح تحليل الشيفرة المتقدم متاحاً على نطاق واسع، فقد يحصل المهاجمون الأقل مهارة على أدوات تساعدهم في تحديد نقاط الضعف الخطيرة واستغلالها بسرعة أكبر بكثير من قدرة منظومة المصدر المفتوح على ترقيعها.
وتهدف المبادرة الجديدة إلى سد هذه الفجوة عبر استبدال ما تصفه Linux Foundation بنموذج استجابة أمنية مجزأ ومكرر. فبدلاً من أن تقوم شركات متعددة بفحص الحزم نفسها بشكل مستقل، وتقديم تقارير متداخلة، وإرسال ترقيعات متعارضة إلى القائمين على الصيانة، تقترح Akrites عملية مشتركة بطبقة تنسيق واحدة.
من يشارك
من بين الأعضاء المؤسسين المذكورين في الإعلان Amazon Web Services وAnthropic وCisco وCiti وGoogle وIBM وJPMorganChase وMicrosoft وNVIDIA وOpenAI وRed Hat وRust Foundation وVodafone وZscaler. وتكتسب هذه القائمة أهميتها لأنها تشمل بعض أكبر مستخدمي البرمجيات مفتوحة المصدر، وعدداً من الشركات التي تبني أنظمة ذكاء اصطناعي رائدة، ومؤسسات كبرى معرّضة مباشرة لمخاطر سلسلة توريد البرمجيات.
كما يعكس تكوين المجموعة مدى اتساع فهم هذه القضية الآن. فلم تعد أمنية المصدر المفتوح تُعامل بوصفها مشكلة ضيقة تخص القائمين على الصيانة أو مسألة امتثال خلفية. بل أصبحت شأناً استراتيجياً لمزودي الخدمات السحابية والبنوك وبائعي برمجيات المؤسسات ومطوري الذكاء الاصطناعي وشركات البنية التحتية التي تعتمد جميعها على مكونات برمجية مشتركة.
وتُطرح Akrites كآلية عملية لهذا الاعتماد المشترك. والفكرة ليست مجرد العثور على مزيد من الثغرات، بل إنشاء نظام يساعد القائمين على الصيانة فعلياً على التصرف بناءً على التقارير الموثوقة من دون أن يغمرهم سيل من النتائج منخفضة الجودة أو المكررة.
فريق استجابة مشترك للحوادث
في قلب Akrites يوجد فريق استجابة مشترك للحوادث الأمنية، أو SIRT. وتتمثل مهمته في أن يكون نقطة اتصال واحدة لقائمين على صيانة مشاريع المصدر المفتوح، بدلاً من إجبارهم على التعامل مع موجة من الاتصالات المتوازية من منظمات متعددة. ومن المتوقع أن يراجع الفريق تقارير الثغرات الواردة، ويزيل التكرارات، وينسق عمليات الإصلاح.
وتعالج هذه البنية مشكلة تشغيلية متزايدة في أمن البرمجيات: فزيادة الفحص لا تعني تلقائياً نتائج أفضل. فإذا اكتشفت جهات عديدة المشكلة نفسها بشكل مستقل، فقد ينتهي الأمر بالقائمين على الصيانة إلى قضاء الوقت في فرز التكرارات بدلاً من إصلاح المشكلات الأهم. وتهدف Akrites إلى تقليل هذا الضجيج وتركيز الانتباه على الثغرات المؤكدة والقابلة للتنفيذ.
كما ستستخدم المبادرة عملية موحدة للإفصاح السري، تُعرف عادة باسم الإفصاح المنسق عن الثغرات. وعملياً، يعني ذلك أنه يمكن الإبلاغ عن العيوب والعمل عليها بشكل خاص قبل كشف التفاصيل التقنية للعامة، ما يقلل خطر استغلال نقاط الضعف المعروفة في الفترة الفاصلة بين الاكتشاف والتصحيح.
ماذا يحدث عندما يغيب القائمون على الصيانة
أحد أبرز عناصر الإعلان هو خطة Akrites للمشاريع المهجورة أو ضعيفة الصيانة. فأنظمة المصدر المفتوح تضم كثيراً من الحزم التي تظل مستخدمة على نطاق واسع حتى عندما يكون لدى القائمين الأصليين على صيانتها وقت أو تمويل أو دعم مؤسسي محدود. وفي هذه الحالات، قد تبقى الثغرات المؤكدة دون معالجة لأن لا أحد يكون في موقع واضح يسمح له بإنتاج الإصلاح وإصداره.
وتقول Akrites إنها ستوفر التصحيحات اللازمة نفسها للمشاريع المهجورة. وهذا وعد مهم لأنه ينقل المبادرة من مجرد التنسيق إلى الإصلاح المباشر عند الحاجة. كما يعكس حقيقة أصعب في سلسلة توريد البرمجيات: فالبنية التحتية الحيوية كثيراً ما تعتمد على مكونات لا تمتلك العدد الكافي من الموظفين أو الدعم المؤسسي الذي يفترض أن يوازي أهميتها.
إذا استطاعت Akrites تقليص الفارق الزمني بين اكتشاف الثغرة وتوفر التصحيح بشكل ملموس في تلك الأجزاء المهملة من المنظومة، فقد تساعد في سد أحد أكثر النقاط الضعيفة استمراراً في أمن المصدر المفتوح.
لماذا التوقيت مهم
الإلحاح الوارد في الإعلان ليس مجرد أمر نظري. فقد قال الرئيس التنفيذي لشركة Endor Labs، فارون بادوار، في المادة المصدرية إن أقل من 5 بالمئة من آلاف الثغرات المؤكدة في المصدر المفتوح خلال الأشهر الأخيرة تم ترقيعها. وحتى من دون سياق إضافي، فإن هذا الرقم يوضح حجم التراكم في أعمال الإصلاح التي تحاول Akrites معالجتها.
ويزيد بعد الذكاء الاصطناعي من حدة المشكلة. فإذا كان التحليل المدعوم بالنماذج يزيد بصورة كبيرة من معدل العثور على الثغرات، فقد يزداد التراكم سوءاً ما لم تصبح عمليات الفرز والترقيع أكثر كفاءة أيضاً. وتُعد Akrites عملياً محاولة لتصنيع جانب الاستجابة من أمن المصدر المفتوح قبل أن تتسارع أدوات الاكتشاف أكثر.
ولا يعني ذلك أن الذكاء الاصطناعي يُقدَّم بوصفه تهديداً فقط. فمن حيث المضمون، تعترف المبادرة أيضاً بأن التحول التكنولوجي نفسه الذي يضغط على المدافعين يمكن مواجهته بعمليات مشتركة وخبرة مجمعة وتنسيق أفضل. فـ Akrites ليست رفضاً لأدوات الأمن في عصر الذكاء الاصطناعي بقدر ما هي محاولة لضمان قدرة الجوانب البشرية والتنظيمية للإصلاح على مواكبة هذا التطور.
اختبار لقدرة الدفاع الجماعي على التوسع
ستعتمد أهمية Akrites في النهاية على التنفيذ. فمركزة التقارير، وترشيح التكرارات، وتنسيق الإفصاح السري، وترقيع المشاريع المهجورة كلها استجابات منطقية لبيئة ثغرات أكثر ضجيجاً وأسرع حركة. لكن الجزء الصعب سيكون في الحفاظ على ثقة القائمين على الصيانة، وتحديد الأولويات الصحيحة، وإثبات أن كياناً عابراً للقطاعات يمكنه التحرك بالسرعة الكافية ليُحدث فرقاً.
ومع ذلك، تبرز هذه المبادرة لأنها تتعامل مع أمن المصدر المفتوح بوصفه مشكلة دفاع جماعي، لا سلسلة من الحوادث المنعزلة. وهذا تحول مهم. فالشركات الأكثر اعتماداً على البرمجيات المشتركة تعترف بأن التقارير المجزأة والجهد المكرر لم يعودا كافيين، خصوصاً عندما قد يخفض الذكاء الاصطناعي عتبة الهجمات عالية الأثر.
إذا نجحت Akrites، فقد لا يكون إرثها في عدد الثغرات التي تكتشفها، بل في ما إذا كانت تساعد عالم المصدر المفتوح على الاستجابة للعيوب الخطيرة بضجيج أقل، وتأخير أقل، وفجوات أقل يمكن للمهاجمين استغلالها.
هذه المقالة مبنية على تقرير من The Decoder. اقرأ المقال الأصلي.
Originally published on the-decoder.com

