மாறிவரும் பாதுகாப்பு சூழலுக்கு ஒருங்கிணைந்த பதில்

Linux Foundation Akrites-ஐ தொடங்கியுள்ளது. இது பரவலாகப் பயன்படுத்தப்படும் open-source software-இல் உள்ள பாதுகாப்பு குறைபாடுகளை கண்டறியும், சரிபார்க்கும், மற்றும் சரிசெய்யும் முறையை கடுமைப்படுத்த வடிவமைக்கப்பட்ட புதிய தொழில்துறை முயற்சி. சுமார் 20 தொழில்நுட்ப நிறுவனங்கள், AI labs, மற்றும் நிதி நிறுவனங்களை ஒரு எளிய முனைப்பைச் சுற்றி இது ஒன்றிணைக்கிறது: software vulnerability discovery-யின் பொருளாதாரம் மாறிவிட்டது, மேலும் தாக்குதலாளர்கள் பெரிய முன்னிலை பெறுவதற்கு முன்பு பாதுகாப்பாளர்களுக்கு அதிக ஒழுங்கமைக்கப்பட்ட பதில் தேவை.

அறிவிப்பின் படி, நவீன AI systems இப்போது பெரிய codebases-ஐ வாரங்களுக்குப் பதிலாக நிமிடங்களில் ஆய்வு செய்ய முடிவதால் Akrites உருவாக்கப்பட்டது. அந்த வேகம் முக்கியமானது. Vulnerability discovery ஒருகாலத்தில் சமன்பாட்டின் இரு பக்கங்களிலும் குறிப்பிடத்தக்க நிபுணத்துவத்தையும் நேரத்தையும் தேவைப்படுத்தியது, இது தாக்குதலாளர்களுக்கும் பாதுகாப்பாளர்களுக்கும் இடையில் ஒரு தோராயமான சமநிலையை உருவாக்கியது. அந்த சமநிலை மாறிக்கொண்டிருக்கிறது என்ற பார்வையிலேயே Akrites தொடங்குகிறது. Advanced code analysis பரவலாகக் கிடைக்குமானால், குறைந்த திறன் கொண்ட தாக்குதலாளர்கள் open-source ecosystem அவற்றை patch செய்வதற்கும் முன்பே கடுமையான பலவீனங்களை கண்டறிந்து பயன்படுத்த உதவும் கருவிகளைப் பெறலாம்.

Linux Foundation விவரிப்பதுபோல் சிதறிய, duplicate-ஆக இருக்கும் security response model-ஐ மாற்றுவதன் மூலம் இந்த இடைவெளியை நிரப்ப புதிய முயற்சி நோக்குகிறது. பல நிறுவனங்கள் தனித்தனியாக ஒரே packages-ஐ scan செய்து, ஒன்றை ஒன்று மூடிய reports-ஐ தாக்கல் செய்து, maintainers-க்கு முரண்பட்ட patches அனுப்புவதற்குப் பதிலாக, Akrites ஒரு single coordination layer-உடன் shared process-ஐ முன்வைக்கிறது.

யார் பங்கேற்கிறார்கள்

அறிவிப்பில் பெயரிடப்பட்ட founding members-ல் Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Rust Foundation, Vodafone, மற்றும் Zscaler ஆகியவை அடங்கும். இந்த பட்டியல் முக்கியமானது, ஏனெனில் இதில் open-source software-ஐ மிக அதிகமாகப் பயன்படுத்தும் சில நிறுவனங்கள், frontier AI systems உருவாக்கும் பல நிறுவனங்கள், மற்றும் software supply-chain risk-க்கு நேரடியாக வெளிப்படும் முக்கிய நிறுவனங்கள் உள்ளன.

இந்த குழுவின் அமைப்பு, இந்த பிரச்சினை இப்போது எவ்வளவு பரவலாகப் புரிந்துகொள்ளப்படுகிறது என்பதையும் காட்டுகிறது. Open-source security இனி ஒரு குறுகிய maintainer பிரச்சினையாகவோ அல்லது back-office compliance விவகாரமாகவோ பார்க்கப்படவில்லை. இது cloud providers, banks, enterprise software vendors, AI developers, மற்றும் shared software components-ஐ சார்ந்திருக்கும் infrastructure companies ஆகிய அனைத்திற்கும் ஒரு strategic concern ஆக மாறியுள்ளது.

Akrites அந்த shared dependency-க்கு ஒரு நடைமுறை mechanism ஆக நிலைநிறுத்தப்பட்டுள்ளது. கருத்து அதிக flaws-ஐ கண்டுபிடிப்பது மட்டும் அல்ல. உண்மையான maintainers-ஐ நம்பகமான reports-க்கு செயல்பட உதவும், low-quality அல்லது duplicate கண்டுபிடிப்புகளால் மூழ்கடிக்கப்படாத ஒரு system-ஐ உருவாக்குவதே நோக்கம்.

ஒரு shared incident response team

Akrites-இன் மையத்தில் ஒரு shared Security Incident Response Team, அல்லது SIRT, உள்ளது. பல அமைப்புகளின் parallel outreach-ஐ manage செய்ய வேண்டிய கட்டாயம் இல்லாமல், open-source projects maintainers-க்கு single point of contact ஆக செயல்படுவதே இதன் பங்கு. incoming vulnerability reports-ஐ மதிப்பாய்வு செய்து, duplicates-ஐ அகற்றி, fixes-ஐ ஒருங்கிணைக்க இந்த team செயல்படும் என்று எதிர்பார்க்கப்படுகிறது.

இந்த அமைப்பு software security-யில் அதிகரிக்கும் operational பிரச்சினையை address செய்கிறது: அதிக scanning தானாகவே better outcomes-ஐ உருவாக்காது. பல அமைப்புகள் தனித்தனியாக ஒரே issue-ஐ கண்டறிந்தால், maintainers மிக முக்கியமான பிரச்சினைகளை சரிசெய்வதற்குப் பதிலாக மீண்டும் மீண்டும் வரும் submissions-ஐ triage செய்வதில் நேரம் செலவிட முடியும். Akrites இந்த noise-ஐ குறைத்து, validated, actionable vulnerabilities மீது கவனம் செலுத்த வடிவமைக்கப்பட்டுள்ளது.

இந்த முயற்சி ஒரு standardised confidential disclosure process-ஐயும் பயன்படுத்தும்; இது பொதுவாக Coordinated Vulnerability Disclosure என்று அழைக்கப்படுகிறது. நடைமுறையில், இதன் பொருள் technical details பொதுவாக வெளிப்படும் முன் flaws-ஐ தனிப்பட்ட முறையில் report செய்து அவற்றை work செய்யலாம்; இதனால் discovery மற்றும் patching இடையிலான காலத்தில் அறியப்பட்ட பலவீனங்கள் பயன்படுத்தப்படுவதற்கான ஆபத்து குறைகிறது.

Maintainers இல்லாதபோது என்ன நடக்கும்

அறிவிப்பில் குறிப்பிடத்தக்க கூறுகளில் ஒன்று abandoned அல்லது undermaintained projects-க்கு Akrites-இன் திட்டம். Open-source ecosystems-ல் பல packages அவற்றின் original maintainers-க்கு நேரம், நிதி, அல்லது organizational support குறைவாக இருந்தாலும் தொடர்ந்து பரவலாக பயன்படுத்தப்படுகின்றன. அத்தகைய சந்தர்ப்பங்களில், fix-ஐ உருவாக்கவும் வெளியிடவும் யாரும் தெளிவாக இல்லை என்பதால், உறுதிப்படுத்தப்பட்ட vulnerabilities கூட நீடிக்கக்கூடும்.

Abandoned projects-க்கு தேவையான patches-ஐ தாமே ship செய்வோம் என்று Akrites கூறுகிறது. இது குறிப்பிடத்தக்க வாக்குறுதி, ஏனெனில் இது initiative-ஐ coordination-ஐத் தாண்டி தேவையானபோது direct remediation-க்கு நகர்த்துகிறது. இது software supply chain பற்றிய கடினமான உண்மையையும் காட்டுகிறது: critical infrastructure பெரும்பாலும் அதன் முக்கியத்துவத்திற்கு ஏற்ப staffing அல்லது institutional backing இல்லாத components-ஐ நம்பி இயங்குகிறது.

Akrites ecosystem-இன் neglect செய்யப்பட்ட பகுதிகளில் vulnerability discovery மற்றும் patch availability இடையிலான தாமதத்தை குறிப்பிடத்தக்க அளவில் குறைக்க முடிந்தால், open-source security-யின் மிகவும் நிலையான weak points-ல் ஒன்றை மூட உதவும்.

நேரம் ஏன் முக்கியம்

அறிவிப்பில் கூறப்பட்ட urgency கற்பனையானது அல்ல. Endor Labs chief executive Varun Badhwar, source material-இல் மேற்கோளிடப்பட்டவர், சமீபத்திய மாதங்களில் உறுதிப்படுத்தப்பட்ட ஆயிரக்கணக்கான open-source vulnerabilities-இல் ஐந்து சதவீதத்திற்கும் குறைவானவை மட்டுமே patched செய்யப்பட்டுள்ளன என்று கூறினார். கூடுதல் சூழல் இல்லாவிட்டாலும், அந்த எண்ணிக்கை Akrites சமாளிக்க முயற்சிக்கும் remediation backlog-இன் அளவை காட்டுகிறது.

AI கோணம் இந்த பிரச்சினையை மேலும் தீவிரமாக்குகிறது. Model-assisted analysis flaws-ஐ கண்டறியும் வேகத்தை பெரிதும் அதிகரித்தால், triage மற்றும் patching கூட அதிக திறமையானதாக ஆகவில்லை என்றால் backlog மேலும் மோசமடையலாம். Discovery tooling மேலும் வேகப்படுவதற்கு முன்பே open-source security-யின் response side-ஐ industrialize செய்யும் முயற்சியே Akrites.

இதன் பொருள் AI-ஐ ஒரு threat-ஆக மட்டுமே கருதுகிறார்கள் என்பதல்ல. மறைமுகமாக, பாதுகாப்பாளர்களுக்கு அழுத்தம் கொடுக்கும் அதே தொழில்நுட்ப மாற்றத்தை shared processes, pooled expertise, மற்றும் better coordination மூலமும் எதிர்கொள்ளலாம் என்பதை இந்த முயற்சி உணர்கிறது. Akrites என்பது AI-era security tooling-ஐ நிராகரிப்பதைவிட, remediation-இன் human மற்றும் organizational பக்கம் அதனுடன் இணைந்து செயல்படுமாறு உறுதி செய்வதற்கான முயற்சி.

Collective defense scale ஆகுமா என்ற சோதனை

Akrites-இன் முக்கியத்துவம் இறுதியில் அதன் செயல்படுத்துதலையே சாரும். Reports-ஐ மையப்படுத்துதல், duplicates-ஐ வடிகட்டுதல், confidential disclosure-ஐ ஒருங்கிணைத்தல், மற்றும் abandoned projects-க்கு patches வழங்குதல் - இவையெல்லாம் சத்தம் அதிகமும் வேகமும் கொண்ட vulnerability சூழலுக்கு பொருத்தமான பதில்கள். கடினமான பகுதி maintainers-இன் நம்பிக்கையைத் தக்கவைத்தல், சரியான issues-ஐ முன்னுரிமை அளித்தல், மற்றும் cross-industry body போதுமான வேகமாக நகர முடியும் என்பதை நிரூபித்தல்.

அதனால், இந்த முயற்சி open-source security-யை தனித்தனியான சம்பவங்களின் தொடராக அல்ல, collective defense problem ஆகக் காண்பதால் தனித்துவமாகத் தெரிகிறது. இது அர்த்தமுள்ள மாற்றம். shared software-ஐ அதிகம் சார்ந்திருக்கும் நிறுவனங்கள் fragmented reporting மற்றும் duplicated effort இனி போதாது என்பதை ஏற்றுக்கொள்கின்றன, குறிப்பாக AI high-impact attacks-க்கு தடையை குறைக்கக்கூடும் போது.

Akrites வெற்றி பெற்றால், அதன் மரபு அது எத்தனை vulnerabilities-ஐ கண்டறிந்தது என்பதில் இல்லாமல், open-source உலகம் கடுமையான flaws-க்கு குறைந்த noise, குறைந்த delay, மற்றும் attackers பயன்படுத்துவதற்கான குறைவான gaps உடன் பதிலளிக்க அது உதவியதா என்பதில் இருக்கும்.

இந்த கட்டுரை The Decoder-இன் செய்தியிடலை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.

Originally published on the-decoder.com