Daha fazla açık kaynak koruması için yeni ittifak

Linux Vakfı, çok sayıda teknoloji şirketi ve finans kurumuyla birlikte Akrites girişimini başlattı. Amaç, önemli açık kaynak yazılımlardaki güvenlik açıklarının yönetimini merkezi olarak koordine etmek, bunları ilgili proje yöneticileriyle gizli bir şekilde çözmek ve ancak daha sonra bunları kamuya açık hale getirmektir. Arka planda, modern yapay zeka modellerinin güvenlik açıklarını eskisinden çok daha hızlı tespit edebileceğine ve dolayısıyla savunmacılar için zaman baskısını önemli ölçüde artırabileceğine dair artan endişe var.

Duyurudan sonra devamını okuyun

Kurucu üyeler arasında Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft, GitHub, Nvidia, OpenAI, Red Hat'in yanı sıra JPMorganChase, Citi ve Vodafone yer alıyor. İlgili şirketler personel, güvenlik bilgisi ve mali kaynak sağlamak istiyor.

Linux Vakfı'nın duyurusuna göre üretken yapay zeka, güvenlik ortamını temelden değiştiriyor. Daha önce ciddi güvenlik açıklarını aramak çok fazla uzmanlık bilgisi ve genellikle haftalarca süren analiz gerektirirken, güçlü yapay zeka modelleri artık büyük açık kaynak projelerini potansiyel güvenlik açıklarına karşı dakikalar içinde tarayabiliyor. Bu, bir boşluk bulma ile bunun olası kullanımı arasındaki süreyi önemli ölçüde azaltır.

Akrites'in bu gelişmeye ortak bir güvenlik süreciyle yanıt vermesi gerekiyor. Birden fazla şirketin bağımsız olarak aynı güvenlik açığını raporlaması veya farklı yamalar geliştirmesi yerine girişim, koordinasyonu birleştiriyor. Projenin özü, ortak bir Güvenlik Olayına Müdahale Ekibi (SIRT) ve güvenlik açıklarının koordineli bir şekilde ifşa edilmesine yönelik tek tip bir süreçtir (Koordineli Güvenlik Açığı Açıklaması, CVD). İlgili kuruluşlar, ayrıntılar yayınlanmadan önce doğrulanan güvenlik açıklarını orijinal bakımcılarla birlikte düzeltmek istiyor.

İlgilenen açık kaynak projelerinin geliştiricileriyle işbirliğine odaklanılmaktadır. Linux Vakfı'na göre hata düzeltmeleri genellikle orijinal projelerin bir parçası olmalıdır. Bakımcılar projelerinin kontrolünü ellerinde tutarlar ve birden fazla veya çelişkili güvenlik raporuyla yükümlü tutulmamalıdırlar.

Artık aktif olarak bakımı yapılmayan paketler için Akrites aynı zamanda “Son Çare Bakımcısı” rolünü de üstlenmektedir. Bu durumlarda girişim, orijinal geliştiriciler artık mevcut olmasa bile kritik güvenlik açıklarının kapatılabilmesi için mevcut sürümler için düzeltmeler sağlamayı amaçlıyor.

Duyurudan sonra devamını okuyun

Teknik olarak Akrites, BT güvenliği sektöründe yerleşik prosedür ve standartlara dayanmaktadır. Bunlar arasında güvenlik açıklarını belirlemek için CVE, bunların ciddiyetini değerlendirmek için CVSS ve güvenlik açığı türlerini sınıflandırmak için CWE yer alır. Girişim, yazılım üreticilerinin, güvenlik araştırmacılarının ve kritik altyapı operatörlerinin mevcut süreçlerine entegre olmayı amaçlıyor.

Açık kaynak güvenliğine yönelik bir Linux Vakfı destek fonu olan Alpha-Omega, ilk finansmanı sağlıyor. Diğer şirket ve kuruluşlar, geliştirme kapasitesi veya mali kaynak sağlayarak katılabilirler. Girişim, lansmanla eş zamanlı olarak kurucu üyelerin açık kaynak altyapısının ortak korunması çağrısında bulunduğu bir açık mektup yayınladı.


(fo)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir