बदलत्या सुरक्षा परिस्थितीला समन्वित प्रतिसाद
Linux Foundation ने Akrites सुरू केले आहे, ही एक नवी उद्योग-स्तरीय मोहीम आहे जी व्यापकपणे वापरल्या जाणाऱ्या open-source software मधील सुरक्षा त्रुटी शोधणे, पडताळणे आणि दुरुस्त करणे या प्रक्रियेला अधिक कडक करण्यासाठी तयार करण्यात आली आहे. सुमारे 20 तंत्रज्ञान कंपन्या, AI labs, आणि वित्तीय संस्था यांना एक साध्या तत्त्वाभोवती एकत्र आणले जाते: software vulnerability discovery ची अर्थव्यवस्था बदलली आहे, आणि हल्लेखोरांना मोठा फायदा मिळण्यापूर्वी संरक्षकांना अधिक संघटित प्रतिसादाची गरज आहे.
घोषणेनुसार, आधुनिक AI systems आता मोठे codebases आठवड्यांऐवजी मिनिटांत तपासू शकतात म्हणून Akrites तयार केले गेले. ती गती महत्त्वाची आहे. Vulnerability discovery पूर्वी समिकरणाच्या दोन्ही बाजूंना मोठी कौशल्ये आणि वेळ मागायची, ज्यामुळे हल्लेखोर आणि संरक्षक यांच्यात ढोबळ समतोल निर्माण होत असे. Akrites या दृष्टीने सुरू होते की हा समतोल बदलत आहे. जर advanced code analysis सर्वसाधारणपणे उपलब्ध झाले, तर कमी कौशल्याचे हल्लेखोर अशा साधनांपर्यंत पोहोचू शकतात जी त्यांना गंभीर कमकुवतता open-source ecosystem दुरुस्त करण्यापूर्वीच शोधून त्यांचा गैरवापर करण्यास मदत करतील.
Linux Foundation ज्या fragmented, duplicative security response modelचे वर्णन करते, त्याऐवजी ही नवी मोहीम एक shared process आणि single coordination layer आणू इच्छिते. अनेक कंपन्या स्वतंत्रपणे तेच packages scan करतील, एकमेकांवर चढणाऱ्या reports दाखल करतील, आणि maintainers ना परस्परविरोधी patches पाठवतील, याऐवजी Akrites एक सामायिक प्रक्रिया सुचवते ज्यात समन्वयाची एकच पातळी असेल.
कोण सहभागी आहे
घोषणेत नाव घेतलेल्या founding members मध्ये Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Rust Foundation, Vodafone, आणि Zscaler यांचा समावेश आहे. ही यादी महत्त्वाची आहे कारण त्यात open-source software चे काही सर्वात मोठे वापरकर्ते, frontier AI systems तयार करणाऱ्या अनेक कंपन्या, आणि software supply-chain risk च्या थेट संपर्कात असलेल्या प्रमुख संस्था आहेत.
या समूहाची रचना हेही दाखवते की हा मुद्दा आता किती व्यापकपणे समजला जातो. Open-source security आता केवळ एखाद्या मर्यादित maintainer समस्येसारखी किंवा back-office compliance बाबींसारखी पाहिली जात नाही. ती cloud providers, banks, enterprise software vendors, AI developers, आणि infrastructure companies यांच्यासाठी रणनीतिक चिंता बनली आहे, जे सर्व shared software components वर अवलंबून आहेत.
Akrites ला त्या shared dependency साठी एक व्यवहार्य यंत्रणा म्हणून मांडले गेले आहे. उद्देश फक्त अधिक flaws शोधणे नाही. उद्देश असा system तयार करणे आहे जो real maintainers ना विश्वासार्ह reports वर कृती करण्यास मदत करेल, low-quality किंवा duplicative findings च्या ओझ्याखाली न दबता.
एक shared incident response team
Akrites च्या केंद्रस्थानी एक shared Security Incident Response Team, किंवा SIRT, आहे. त्याची भूमिका open-source projects च्या maintainers साठी एकच संपर्कबिंदू म्हणून काम करण्याची आहे, जेणेकरून त्यांना अनेक संस्थांकडून येणाऱ्या parallel outreach च्या लोंढ्याचे व्यवस्थापन करावे लागणार नाही. ही टीम येणाऱ्या vulnerability reports चे पुनरावलोकन करेल, duplicates काढून टाकेल, आणि fixes चे समन्वय साधेल अशी अपेक्षा आहे.
ही रचना software security मधील वाढत्या operational समस्येला हाताळते: अधिक scanning म्हणजे आपोआप चांगले परिणाम असे नाही. अनेक संस्था स्वतंत्रपणे तीच issue शोधत असतील, तर maintainers सर्वात महत्त्वाच्या समस्या दुरुस्त करण्याऐवजी पुन्हा-पुन्हा आलेल्या submissions चे triage करण्यात वेळ घालवू शकतात. Akrites noise कमी करण्यासाठी आणि validated, actionable vulnerabilities वर लक्ष केंद्रित करण्यासाठी तयार केले गेले आहे.
ही मोहीम एक standardised confidential disclosure process देखील वापरणार आहे, ज्याला साधारणपणे Coordinated Vulnerability Disclosure म्हटले जाते. प्रत्यक्षात, याचा अर्थ असा की technical details सार्वजनिक होण्यापूर्वी flaws गोपनीयपणे report करता येतात आणि त्यावर काम करता येते, ज्यामुळे discovery आणि patching मधील काळात ज्ञात कमकुवततेच्या गैरवापराचा धोका कमी होतो.
मेंटेनर नसतील तर काय?
घोषणेतला अधिक लक्षवेधी घटक म्हणजे abandoned किंवा undermaintained projects साठी Akrites ची योजना. Open-source ecosystems मध्ये असे अनेक packages आहेत जे मूळ maintainers कडे वेळ, निधी, किंवा संस्थात्मक आधार मर्यादित असतानाही मोठ्या प्रमाणावर वापरले जातात. अशा प्रसंगी, confirm झालेल्या vulnerabilities देखील लोंबकळत राहू शकतात कारण fix तयार करून तो जारी करण्यासाठी स्पष्टपणे कोणीच नसते.
Akrites म्हणते की ते abandoned projects साठी आवश्यक patches स्वतः ship करेल. हे महत्त्वाचे वचन आहे कारण त्यामुळे ही मोहीम coordination च्या पुढे जाऊन गरज पडल्यास direct remediation कडे जाते. हे software supply chain बद्दलचे एक कठोर सत्यही दर्शवते: महत्त्वाची infrastructure अनेकदा अशा components वर अवलंबून असते ज्यांना त्यांच्या महत्त्वाला साजेसे staffing किंवा institutional backing नसते.
जर Akrites ecosystem च्या दुर्लक्षित भागांमध्ये vulnerability discovery आणि patch availability यामधील विलंब अर्थपूर्णपणे कमी करू शकले, तर ते open-source security मधील सर्वात टिकाऊ कमजोर बिंदूं पैकी एक भरून काढण्यास मदत करू शकते.
वेळ का महत्त्वाचा आहे
घोषणेत वर्णन केलेली urgency काल्पनिक नाही. Endor Labs चे chief executive Varun Badhwar यांनी, source material मध्ये उद्धृत, सांगितले की अलीकडील महिन्यांत validate केलेल्या हजारो open-source vulnerabilities पैकी पाच टक्क्यांपेक्षा कमी पैच झाल्या आहेत. अतिरिक्त संदर्भाशिवायही, ही संख्या Akrites सोडवू इच्छित असलेल्या remediation backlog चे प्रमाण दाखवते.
AI पैलू हा मुद्दा अधिक तीक्ष्ण करतो. जर model-assisted analysis flaws शोधण्याचा दर मोठ्या प्रमाणात वाढवत असेल, तर triage आणि patching अधिक कार्यक्षम झाले नाहीत तर backlog आणखी बिघडू शकतो. Discovery tooling आणखी वेगवान होण्यापूर्वी open-source security च्या response side ला industrialize करण्याचा Akrites हा प्रत्यक्षात प्रयत्न आहे.
याचा अर्थ AI ला केवळ धोका म्हणून मांडले जात आहे असे नाही. सूचकपणे, ही मोहीम हेही मान्य करते की संरक्षकांवर दबाव आणणारा तोच तांत्रिक बदल shared processes, pooled expertise, आणि better coordination द्वारेही हाताळता येतो. Akrites हे AI-era security tooling नाकारण्यापेक्षा remediation च्या मानवी आणि संघटनात्मक बाजूला त्याच्याशी जुळवून देण्याचा प्रयत्न आहे.
सामूहिक संरक्षण scale होऊ शकते का?
Akrites चे महत्त्व अखेर त्याच्या अंमलबजावणीवर अवलंबून असेल. Reports केंद्रीत करणे, duplicates फिल्टर करणे, confidential disclosure समन्वयित करणे, आणि abandoned projects ला patches देणे - हे सर्व अधिक noisy आणि वेगाने बदलणाऱ्या vulnerability वातावरणाला योग्य प्रतिसाद आहेत. कठीण भाग असेल maintainers चा विश्वास टिकवणे, योग्य issues ना प्राधान्य देणे, आणि cross-industry body पुरेशा वेगाने हलू शकते हे सिद्ध करणे.
तरीही, ही मोहीम वेगळी भासते कारण ती open-source security ला isolated incidents च्या मालिकेऐवजी collective defense problem म्हणून पाहते. हा महत्त्वाचा बदल आहे. shared software वर सर्वाधिक अवलंबून असलेल्या कंपन्या मान्य करत आहेत की fragmented reporting आणि duplicated effort आता पुरेसे नाहीत, विशेषतः AI उच्च-प्रभावाच्या attacks साठी अडथळा कमी करू शकत असेल तर.
जर Akrites यशस्वी झाले, तर त्याचा वारसा कदाचित त्याने किती vulnerabilities शोधल्या यामध्ये नसेल, तर त्याने open-source जगाला गंभीर flaws ना कमी noise, कमी delay, आणि attackers ना exploit करण्यासाठी कमी gaps सह प्रतिसाद देण्यास मदत केली का यामध्ये असेल.
हा लेख The Decoder च्या रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.
Originally published on the-decoder.com

