మారుతున్న భద్రతా పరిసరాలకు సమన్వయమైన ప్రతిస్పందన
Linux Foundation Akritesను ప్రారంభించింది. ఇది విస్తృతంగా ఉపయోగించే open-source softwareలో భద్రతా లోపాలను కనుగొనే, ధృవీకరించే, మరియు సరిచేసే విధానాన్ని మరింత కట్టుదిట్టం చేయడానికి రూపొందించిన కొత్త పరిశ్రమ కార్యక్రమం. సుమారు 20 టెక్నాలజీ కంపెనీలు, AI labs, మరియు ఆర్థిక సంస్థలను ఒక సరళమైన భావన చుట్టూ ఇది ఏకం చేస్తోంది: software vulnerability discovery ఆర్థికత మారిపోయింది, మరియు దాడికర్తలు పెద్ద ఆధిక్యం పొందే ముందు రక్షకులకు మరింత వ్యవస్థబద్ధమైన ప్రతిస్పందన అవసరం.
ప్రకటన ప్రకారం, ఆధునిక AI systems ఇప్పుడు పెద్ద codebasesను వారాల బదులు నిమిషాల్లో పరిశీలించగలుగుతున్నందున Akritesను సృష్టించారు. ఆ వేగం కీలకం. Vulnerability discovery ఒకప్పుడు సమీకరణంలో రెండు వైపులా గణనీయమైన నైపుణ్యం మరియు సమయాన్ని కోరేది, ఇది దాడికర్తలు మరియు రక్షకుల మధ్య ఒక సన్నిహిత సమతౌల్యాన్ని సృష్టించింది. ఆ సమతౌల్యం మారుతోంది అనే దృష్టితో Akrites ప్రారంభమవుతోంది. అధునాతన code analysis విస్తృతంగా అందుబాటులోకి వస్తే, తక్కువ నైపుణ్యం ఉన్న దాడికర్తలు open-source ecosystem ప్యాచ్ చేయగలిగే కన్నా చాలా వేగంగా తీవ్రమైన బలహీనతలను గుర్తించి దుర్వినియోగం చేయడానికి సహాయపడే సాధనాలను పొందగలరు.
Linux Foundation వివరించినట్లుగా విభజితమైన, పునరావృతమైన security response modelను భర్తీ చేయడం ద్వారా ఈ అంతరాన్ని పూరించడమే కొత్త కార్యక్రమం లక్ష్యం. అనేక కంపెనీలు స్వతంత్రంగా అదే packagesను scan చేయడం, ఒకదానికొకటి దొర్లే reportsను దాఖలు చేయడం, మరియు maintainersకు పరస్పర విరుద్ధమైన patches పంపించడం బదులు, Akrites ఒక single coordination layerతో కూడిన shared processను ప్రతిపాదిస్తోంది.
ఎవరు పాల్గొంటున్నారు
ప్రకటనలో పేర్లు చెప్పబడిన founding membersలో Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Rust Foundation, Vodafone, మరియు Zscaler ఉన్నాయి. ఈ జాబితా ముఖ్యమైనది, ఎందుకంటే ఇది open-source softwareను అత్యధికంగా ఉపయోగించే కొన్ని సంస్థలు, frontier AI systemsను నిర్మిస్తున్న అనేక కంపెనీలు, మరియు software supply-chain riskకు నేరుగా గురయ్యే ప్రధాన సంస్థలను కవర్ చేస్తోంది.
ఈ సమూహం యొక్క కూర్పు ఇప్పుడు ఈ సమస్యను ఎంత విస్తృతంగా అర్థం చేసుకున్నారో కూడా సూచిస్తుంది. Open-source security ఇక ఒక పరిమిత maintainer సమస్యగా లేదా back-office compliance అంశంగా చూడటం లేదు. ఇది cloud providers, banks, enterprise software vendors, AI developers, మరియు shared software componentsపై ఆధారపడే infrastructure companies అన్నింటికీ ఒక strategic concernగా మారింది.
Akritesను ఆ shared dependencyకు ఒక practical mechanismగా ఉంచారు. ఉద్దేశం కేవలం మరిన్ని flawsను కనుగొనడం మాత్రమే కాదు. నిజమైన maintainersను low-quality లేదా పునరావృతమైన findingsలో మునిగిపోకుండా, credible reportsపై చర్య తీసుకోవడానికి సహాయపడే వ్యవస్థను సృష్టించడమే లక్ష్యం.
ఒక shared incident response team
Akrites కేంద్రంలో ఒక shared Security Incident Response Team, లేదా SIRT, ఉంది. అనేక సంస్థల parallel outreach ప్రవాహాన్ని నిర్వహించాల్సిన అవసరం లేకుండా, open-source projects maintainersకు ఒకే contact pointగా ఇది పని చేయనుంది. ఈ team incoming vulnerability reportsను సమీక్షించి, duplicatesను తొలగించి, fixesను సమన్వయం చేయనుంది.
ఈ నిర్మాణం software securityలో పెరుగుతున్న operational సమస్యను పరిష్కరిస్తుంది: ఎక్కువ scanning ఆటోమేటిక్గా మెరుగైన ఫలితాలను ఇవ్వదు. అనేక సంస్థలు స్వతంత్రంగా అదే issueను కనుగొంటే, maintainers అత్యంత ముఖ్యమైన సమస్యలను సరిచేయడం కంటే పునరావృత submissionsను triage చేయడంలో సమయం గడపాల్సి వస్తుంది. Akrites ఈ noiseను తగ్గించి, validated, actionable vulnerabilitiesపై దృష్టిని కేంద్రీకరించడానికి రూపొందించబడింది.
ఈ కార్యక్రమం standardised confidential disclosure processను కూడా ఉపయోగిస్తుంది, దీనిని సాధారణంగా Coordinated Vulnerability Disclosure అంటారు. అమల్లో, దీని అర్థం flawsను reporting చేసి, technical details ప్రజలకు వెల్లడించబడే ముందు privateగా వాటిపై పని చేయవచ్చు, discovery మరియు patching మధ్య ఉన్న సమయంలో తెలిసిన బలహీనతల దుర్వినియోగ ప్రమాదాన్ని తగ్గిస్తుంది.
Maintainers లేనప్పుడు ఏమవుతుంది
ప్రకటనలో మరింత గమనించదగిన అంశాలలో ఒకటి పక్కనపెట్టబడిన లేదా తక్కువగా నిర్వహించబడుతున్న projects కోసం Akrites ప్రణాళిక. Open-source ecosystemsలో అనేక packages విస్తృతంగా ఉపయోగంలోనే ఉంటాయి, వాటి original maintainersకు సమయం, నిధులు, లేదా organizational support పరిమితంగా ఉన్నప్పటికీ. అలాంటి సందర్భాల్లో, ఎవరూ fixను తయారు చేసి విడుదల చేయడానికి స్పష్టంగా సిద్ధంగా లేకపోవడం వల్ల confirmed vulnerabilities కూడా కొనసాగుతాయి.
పక్కనపెట్టబడిన projects కోసం అవసరమైన patchesను Akrites తానే అందిస్తామని చెబుతోంది. ఇది గణనీయమైన హామీ, ఎందుకంటే ఇది కార్యక్రమాన్ని coordination దాటి, అవసరమైనప్పుడు direct remediation వైపు తీసుకెళ్తుంది. ఇది software supply chain గురించి మరింత కఠినమైన సత్యాన్ని కూడా ప్రతిబింబిస్తుంది: critical infrastructure తరచుగా దాని ప్రాధాన్యతకు తగిన staffing లేదా institutional backing లేని componentsపై ఆధారపడి ఉంటుంది.
ఎకోసిస్టమ్లో నిర్లక్ష్యానికి గురైన భాగాల్లో vulnerability discovery మరియు patch availability మధ్య ఆలస్యంను Akrites గణనీయంగా తగ్గించగలిగితే, open-source securityలో అత్యంత నిలకడైన weak pointsలో ఒకదాన్ని మూసివేయడంలో ఇది సహాయపడవచ్చు.
సమయం ఎందుకు ముఖ్యం
ప్రకటనలో వివరించిన urgency ఊహాత్మకమైనది కాదు. Endor Labs chief executive Varun Badhwar, source materialలో ఉటంకించబడినట్లు, ఇటీవల నెలల్లో ధృవీకరించిన వేలాది open-source vulnerabilitiesలో ఐదు శాతం కన్నా తక్కువ మాత్రమే patched అయ్యాయని అన్నారు. మరింత సందర్భం లేకపోయినా, ఆ గణాంకం Akrites పరిష్కరించడానికి ప్రయత్నిస్తున్న remediation backlog యొక్క పరిమాణాన్ని చూపిస్తుంది.
AI కోణం ఈ సమస్యను మరింత పదును చేస్తుంది. Model-assisted analysis flaws కనుగొనే రేటును తీవ్రంగా పెంచితే, triage మరియు patching కూడా మరింత సమర్థవంతం కాకపోతే backlog మరింత పెరిగే అవకాశం ఉంది. Discovery tooling మరింత వేగవంతం కావడానికి ముందే open-source security యొక్క response sideను industrialize చేయడానికి Akrites ఒక ప్రయత్నం.
దీని అర్థం AIను కేవలం threatగా మాత్రమే చూపుతున్నారని కాదు. పరోక్షంగా, రక్షకులపై ఒత్తిడి తెస్తున్న అదే technological shiftను shared processes, pooled expertise, మరియు better coordinationతో ఎదుర్కొనవచ్చని కూడా ఈ కార్యక్రమం గుర్తిస్తోంది. Akrites AI-era security toolingను తిరస్కరించడం కంటే, remediation యొక్క human మరియు organizational వైపు దానితో పాటు నడిచేలా చూసే ప్రయత్నం.
Collective defense scale అవుతుందా అనే పరీక్ష
Akrites ప్రాముఖ్యత చివరికి అమలుపై ఆధారపడి ఉంటుంది. Reportsను కేంద్రీకరించడం, duplicatesను వడపోసుకోవడం, confidential disclosureను సమన్వయం చేయడం, మరియు abandoned projectsకు patches ఇవ్వడం - ఇవన్నీ మరింత శబ్దభరితమైన మరియు వేగంగా మారుతున్న vulnerability వాతావరణానికి సరైన ప్రతిస్పందనలు. కష్టమైన భాగం maintainersతో trustను కొనసాగించడం, సరైన issuesను ప్రాధాన్యం ఇవ్వడం, మరియు cross-industry body తగినంత వేగంగా కదలగలదని నిరూపించడం.
అయితే, ఈ కార్యక్రమం open-source securityను ఒంటరి సంఘటనల శ్రేణిగా కాకుండా collective defense problemగా పరిగణించడం వల్ల ప్రత్యేకంగా నిలుస్తోంది. ఇది అర్థవంతమైన మార్పు. పంచుకున్న softwareపై అత్యంత ఆధారపడే కంపెనీలు fragmented reporting మరియు duplicated effort ఇక సరిపోవని అంగీకరిస్తున్నాయి, ముఖ్యంగా AI అధిక ప్రభావం ఉన్న attacksకు అడ్డంకిని తగ్గించగలిగితే.
Akrites విజయవంతమైతే, దాని వారసత్వం అది ఎన్ని vulnerabilitiesను కనుగొన్నదన్న దానిలో కాక, open-source ప్రపంచం తీవ్రమైన flawsకు తక్కువ noise, తక్కువ delay, మరియు attackers దుర్వినియోగం చేయడానికి తక్కువ gapsతో స్పందించడానికి అది సహాయపడిందా అన్నదానిలో ఉండవచ్చు.
ఈ వ్యాసం The Decoder నివేదిక ఆధారంగా ఉంది. అసలు వ్యాసాన్ని చదవండి.
Originally published on the-decoder.com

