Six grandes entreprises technologiques, dont Anthropic, AWS, GitHub, Google, Microsoft et OpenAI, ont récemment fourni conjointement un total de 12,5 millions de dollars de financement à des projets liés à la Linux Foundation, visant à aider les responsables de projets de logiciels libres et open source (FOSS) à faire face à la pression des rapports de vulnérabilité de sécurité « remplis d'eau » générés par les outils d'intelligence artificielle.
La Fondation Linux a souligné dans son annonce qu'à mesure que la situation en matière de sécurité devient de plus en plus complexe, la technologie de l'IA augmente considérablement la vitesse et l'ampleur de la découverte des vulnérabilités dans les logiciels open source. Les responsables de la maintenance sont confrontés à un nombre sans précédent de remontées de problèmes de sécurité, dont une part considérable est générée par des systèmes automatisés, mais ne disposent pas des ressources et des outils correspondants pour les classer, les filtrer et les réparer efficacement.
Les fonds seront utilisés pour soutenir le projet Alpha-Omega de la Linux Foundation, qui se concentre sur la sécurité de la chaîne d'approvisionnement open source, et pour promouvoir conjointement un nouveau plan avec l'Open Source Security Foundation (OpenSSF). Selon les rapports, les deux organisations travailleront directement avec les responsables du projet et leurs communautés pour rendre les capacités de sécurité émergentes plus accessibles, plus exploitables et intégrées dans les flux de travail des projets existants, tout en explorant des stratégies durables qui non seulement atténueront la pression croissante en matière de sécurité sur les responsables, mais amélioreront également la résilience de l'ensemble de l'écosystème open source.
Greg Kroah-Hartman, responsable principal du projet du noyau Linux, a admis dans des commentaires publiés par la fondation que le financement à lui seul ne peut pas résoudre tous les problèmes que les outils d'IA posent aux équipes de sécurité open source, mais il a également souligné qu'OpenSSF dispose déjà des outils correspondants.ressource, les responsables qui sont submergés par les rapports de sécurité générés par l'IA peuvent être pris en charge à travers plusieurs projets, et ces rapports peuvent être classés et traités plus efficacement.
Cependant, la Linux Foundation n'a pas encore donné plus de détails sur le cheminement technique spécifique, les modalités de mise en œuvre et le calendrier de ce nouveau plan.
Ce n’est pas un problème nouveau que les rapports de vulnérabilité générés par l’IA occupent l’énergie des responsables. Dès fin 2024, la Python Software Foundation s’était plainte publiquement d’une situation similaire. Depuis lors, les responsables de l'outil open source de transfert de données cURL, largement utilisé, ont également annoncé la fin du programme de bug bounty du projet, car ils étaient incapables de gérer le grand nombre de soumissions et de commentaires générés par l'IA.
Même GitHub, qui est affilié à Microsoft, a commencé à réfléchir sérieusement à la manière de gérer l'afflux de contributions générées par l'IA et de demandes d'extraction d'une qualité inquiétante, et étudie la mise en place d'une sorte de mécanisme de « frein d'urgence » pour empêcher qu'un tel bruit ne noie le processus normal de collaboration open source.