మారుతున్న భద్రతా పరిసరాలకు సమన్వయమైన ప్రతిస్పందన

Linux Foundation Akrites‌ను ప్రారంభించింది. ఇది విస్తృతంగా ఉపయోగించే open-source software‌లో భద్రతా లోపాలను కనుగొనే, ధృవీకరించే, మరియు సరిచేసే విధానాన్ని మరింత కట్టుదిట్టం చేయడానికి రూపొందించిన కొత్త పరిశ్రమ కార్యక్రమం. సుమారు 20 టెక్నాలజీ కంపెనీలు, AI labs, మరియు ఆర్థిక సంస్థలను ఒక సరళమైన భావన చుట్టూ ఇది ఏకం చేస్తోంది: software vulnerability discovery ఆర్థికత మారిపోయింది, మరియు దాడికర్తలు పెద్ద ఆధిక్యం పొందే ముందు రక్షకులకు మరింత వ్యవస్థబద్ధమైన ప్రతిస్పందన అవసరం.

ప్రకటన ప్రకారం, ఆధునిక AI systems ఇప్పుడు పెద్ద codebases‌ను వారాల బదులు నిమిషాల్లో పరిశీలించగలుగుతున్నందున Akrites‌ను సృష్టించారు. ఆ వేగం కీలకం. Vulnerability discovery ఒకప్పుడు సమీకరణంలో రెండు వైపులా గణనీయమైన నైపుణ్యం మరియు సమయాన్ని కోరేది, ఇది దాడికర్తలు మరియు రక్షకుల మధ్య ఒక సన్నిహిత సమతౌల్యాన్ని సృష్టించింది. ఆ సమతౌల్యం మారుతోంది అనే దృష్టితో Akrites ప్రారంభమవుతోంది. అధునాతన code analysis విస్తృతంగా అందుబాటులోకి వస్తే, తక్కువ నైపుణ్యం ఉన్న దాడికర్తలు open-source ecosystem ప్యాచ్ చేయగలిగే కన్నా చాలా వేగంగా తీవ్రమైన బలహీనతలను గుర్తించి దుర్వినియోగం చేయడానికి సహాయపడే సాధనాలను పొందగలరు.

Linux Foundation వివరించినట్లుగా విభజితమైన, పునరావృతమైన security response model‌ను భర్తీ చేయడం ద్వారా ఈ అంతరాన్ని పూరించడమే కొత్త కార్యక్రమం లక్ష్యం. అనేక కంపెనీలు స్వతంత్రంగా అదే packages‌ను scan చేయడం, ఒకదానికొకటి దొర్లే reports‌ను దాఖలు చేయడం, మరియు maintainers‌కు పరస్పర విరుద్ధమైన patches పంపించడం బదులు, Akrites ఒక single coordination layer‌తో కూడిన shared process‌ను ప్రతిపాదిస్తోంది.

ఎవరు పాల్గొంటున్నారు

ప్రకటనలో పేర్లు చెప్పబడిన founding members‌లో Amazon Web Services, Anthropic, Cisco, Citi, Google, IBM, JPMorganChase, Microsoft, NVIDIA, OpenAI, Red Hat, Rust Foundation, Vodafone, మరియు Zscaler ఉన్నాయి. ఈ జాబితా ముఖ్యమైనది, ఎందుకంటే ఇది open-source software‌ను అత్యధికంగా ఉపయోగించే కొన్ని సంస్థలు, frontier AI systems‌ను నిర్మిస్తున్న అనేక కంపెనీలు, మరియు software supply-chain risk‌కు నేరుగా గురయ్యే ప్రధాన సంస్థలను కవర్ చేస్తోంది.

ఈ సమూహం యొక్క కూర్పు ఇప్పుడు ఈ సమస్యను ఎంత విస్తృతంగా అర్థం చేసుకున్నారో కూడా సూచిస్తుంది. Open-source security ఇక ఒక పరిమిత maintainer సమస్యగా లేదా back-office compliance అంశంగా చూడటం లేదు. ఇది cloud providers, banks, enterprise software vendors, AI developers, మరియు shared software components‌పై ఆధారపడే infrastructure companies అన్నింటికీ ఒక strategic concern‌గా మారింది.

Akrites‌ను ఆ shared dependency‌కు ఒక practical mechanism‌గా ఉంచారు. ఉద్దేశం కేవలం మరిన్ని flaws‌ను కనుగొనడం మాత్రమే కాదు. నిజమైన maintainers‌ను low-quality లేదా పునరావృతమైన findings‌లో మునిగిపోకుండా, credible reports‌పై చర్య తీసుకోవడానికి సహాయపడే వ్యవస్థను సృష్టించడమే లక్ష్యం.

ఒక shared incident response team

Akrites కేంద్రంలో ఒక shared Security Incident Response Team, లేదా SIRT, ఉంది. అనేక సంస్థల parallel outreach ప్రవాహాన్ని నిర్వహించాల్సిన అవసరం లేకుండా, open-source projects maintainers‌కు ఒకే contact point‌గా ఇది పని చేయనుంది. ఈ team incoming vulnerability reports‌ను సమీక్షించి, duplicates‌ను తొలగించి, fixes‌ను సమన్వయం చేయనుంది.

ఈ నిర్మాణం software securityలో పెరుగుతున్న operational సమస్యను పరిష్కరిస్తుంది: ఎక్కువ scanning ఆటోమేటిక్‌గా మెరుగైన ఫలితాలను ఇవ్వదు. అనేక సంస్థలు స్వతంత్రంగా అదే issue‌ను కనుగొంటే, maintainers అత్యంత ముఖ్యమైన సమస్యలను సరిచేయడం కంటే పునరావృత submissions‌ను triage చేయడంలో సమయం గడపాల్సి వస్తుంది. Akrites ఈ noise‌ను తగ్గించి, validated, actionable vulnerabilities‌పై దృష్టిని కేంద్రీకరించడానికి రూపొందించబడింది.

ఈ కార్యక్రమం standardised confidential disclosure process‌ను కూడా ఉపయోగిస్తుంది, దీనిని సాధారణంగా Coordinated Vulnerability Disclosure అంటారు. అమల్లో, దీని అర్థం flaws‌ను reporting చేసి, technical details ప్రజలకు వెల్లడించబడే ముందు private‌గా వాటిపై పని చేయవచ్చు, discovery మరియు patching మధ్య ఉన్న సమయంలో తెలిసిన బలహీనతల దుర్వినియోగ ప్రమాదాన్ని తగ్గిస్తుంది.

Maintainers లేనప్పుడు ఏమవుతుంది

ప్రకటనలో మరింత గమనించదగిన అంశాలలో ఒకటి పక్కనపెట్టబడిన లేదా తక్కువగా నిర్వహించబడుతున్న projects కోసం Akrites ప్రణాళిక. Open-source ecosystems‌లో అనేక packages విస్తృతంగా ఉపయోగంలోనే ఉంటాయి, వాటి original maintainers‌కు సమయం, నిధులు, లేదా organizational support పరిమితంగా ఉన్నప్పటికీ. అలాంటి సందర్భాల్లో, ఎవరూ fix‌ను తయారు చేసి విడుదల చేయడానికి స్పష్టంగా సిద్ధంగా లేకపోవడం వల్ల confirmed vulnerabilities కూడా కొనసాగుతాయి.

పక్కనపెట్టబడిన projects కోసం అవసరమైన patches‌ను Akrites తానే అందిస్తామని చెబుతోంది. ఇది గణనీయమైన హామీ, ఎందుకంటే ఇది కార్యక్రమాన్ని coordination దాటి, అవసరమైనప్పుడు direct remediation వైపు తీసుకెళ్తుంది. ఇది software supply chain గురించి మరింత కఠినమైన సత్యాన్ని కూడా ప్రతిబింబిస్తుంది: critical infrastructure తరచుగా దాని ప్రాధాన్యతకు తగిన staffing లేదా institutional backing లేని components‌పై ఆధారపడి ఉంటుంది.

ఎకోసిస్టమ్‌లో నిర్లక్ష్యానికి గురైన భాగాల్లో vulnerability discovery మరియు patch availability మధ్య ఆలస్యం‌ను Akrites గణనీయంగా తగ్గించగలిగితే, open-source securityలో అత్యంత నిలకడైన weak points‌లో ఒకదాన్ని మూసివేయడంలో ఇది సహాయపడవచ్చు.

సమయం ఎందుకు ముఖ్యం

ప్రకటనలో వివరించిన urgency ఊహాత్మకమైనది కాదు. Endor Labs chief executive Varun Badhwar, source materialలో ఉటంకించబడినట్లు, ఇటీవల నెలల్లో ధృవీకరించిన వేలాది open-source vulnerabilities‌లో ఐదు శాతం కన్నా తక్కువ మాత్రమే patched అయ్యాయని అన్నారు. మరింత సందర్భం లేకపోయినా, ఆ గణాంకం Akrites పరిష్కరించడానికి ప్రయత్నిస్తున్న remediation backlog యొక్క పరిమాణాన్ని చూపిస్తుంది.

AI కోణం ఈ సమస్యను మరింత పదును చేస్తుంది. Model-assisted analysis flaws కనుగొనే రేటును తీవ్రంగా పెంచితే, triage మరియు patching కూడా మరింత సమర్థవంతం కాకపోతే backlog మరింత పెరిగే అవకాశం ఉంది. Discovery tooling మరింత వేగవంతం కావడానికి ముందే open-source security యొక్క response side‌ను industrialize చేయడానికి Akrites ఒక ప్రయత్నం.

దీని అర్థం AI‌ను కేవలం threat‌గా మాత్రమే చూపుతున్నారని కాదు. పరోక్షంగా, రక్షకులపై ఒత్తిడి తెస్తున్న అదే technological shift‌ను shared processes, pooled expertise, మరియు better coordination‌తో ఎదుర్కొనవచ్చని కూడా ఈ కార్యక్రమం గుర్తిస్తోంది. Akrites AI-era security tooling‌ను తిరస్కరించడం కంటే, remediation యొక్క human మరియు organizational వైపు దానితో పాటు నడిచేలా చూసే ప్రయత్నం.

Collective defense scale అవుతుందా అనే పరీక్ష

Akrites ప్రాముఖ్యత చివరికి అమలుపై ఆధారపడి ఉంటుంది. Reports‌ను కేంద్రీకరించడం, duplicates‌ను వడపోసుకోవడం, confidential disclosure‌ను సమన్వయం చేయడం, మరియు abandoned projects‌కు patches ఇవ్వడం - ఇవన్నీ మరింత శబ్దభరితమైన మరియు వేగంగా మారుతున్న vulnerability వాతావరణానికి సరైన ప్రతిస్పందనలు. కష్టమైన భాగం maintainers‌తో trust‌ను కొనసాగించడం, సరైన issues‌ను ప్రాధాన్యం ఇవ్వడం, మరియు cross-industry body తగినంత వేగంగా కదలగలదని నిరూపించడం.

అయితే, ఈ కార్యక్రమం open-source security‌ను ఒంటరి సంఘటనల శ్రేణిగా కాకుండా collective defense problem‌గా పరిగణించడం వల్ల ప్రత్యేకంగా నిలుస్తోంది. ఇది అర్థవంతమైన మార్పు. పంచుకున్న software‌పై అత్యంత ఆధారపడే కంపెనీలు fragmented reporting మరియు duplicated effort ఇక సరిపోవని అంగీకరిస్తున్నాయి, ముఖ్యంగా AI అధిక ప్రభావం ఉన్న attacks‌కు అడ్డంకిని తగ్గించగలిగితే.

Akrites విజయవంతమైతే, దాని వారసత్వం అది ఎన్ని vulnerabilities‌ను కనుగొన్నదన్న దానిలో కాక, open-source ప్రపంచం తీవ్రమైన flaws‌కు తక్కువ noise, తక్కువ delay, మరియు attackers దుర్వినియోగం చేయడానికి తక్కువ gaps‌తో స్పందించడానికి అది సహాయపడిందా అన్నదానిలో ఉండవచ్చు.

ఈ వ్యాసం The Decoder నివేదిక ఆధారంగా ఉంది. అసలు వ్యాసాన్ని చదవండి.

Originally published on the-decoder.com