La Linux Foundation a récemment annoncé le lancement d'un nouveau projet appelé « Akrites » avec un certain nombre de géants de la technologie, d'institutions financières et de fournisseurs de sécurité, visant à renforcer les capacités de défense des logiciels open source critiques à une époque où l'IA et les grands modèles de langage sont largement utilisés pour exploiter les vulnérabilités. Avec des modèles d'IA de pointe capables de découvrir les failles logicielles à une vitesse et à une échelle bien plus grandes que jamais, la pression en matière de sécurité sur l'infrastructure open source augmente rapidement, et Akrites se positionne comme un effort coordonné au niveau de l'industrie autour des corrections et des divulgations de vulnérabilités.
Selon les informations publiées par la Linux Foundation, l'objectif principal d'Akrites est d'établir un processus de divulgation des vulnérabilités unifié, standardisé et coordonné qui donne la priorité à la confidentialité dans les projets open source clés largement utilisés, et de répondre rapidement aux vulnérabilités de sécurité découvertes avec l'aide de l'IA via un mécanisme centralisé de réponse aux incidents de sécurité. Le projet se concentrera sur les composants open source qui prennent en charge les infrastructures critiques telles que les télécommunications, la finance, les soins médicaux et l'énergie, et s'efforcera de travailler avec les responsables en amont pour effectuer les réparations avant que les vulnérabilités ne soient exploitées par des attaquants.
En tant qu'entité de soutien, Akrites agira comme une équipe partagée de réponse aux incidents de sécurité (SIRT) et fournira un canal de coordination unique pour les vulnérabilités graves, empêchant les responsables de l'open source de faire face à des rapports multiples et répétés provenant de différentes entreprises et institutions, et améliorant l'efficacité de la réponse. Dans ce modèle, le processus de gestion des vulnérabilités restera confidentiel et les correctifs seront transmis en amont via le processus de maintenance du projet d'origine pour garantir que les correctifs sont implémentés dans la bonne version et au bon rythme de publication. Pour les progiciels critiques qui manquent déjà de mainteneurs actifs mais qui sont encore largement utilisés, Akrites agira également en tant que « dernier mainteneur », coordonnant et poussant les correctifs dans les versions grand public si nécessaire.
Le projet a reçu un large soutien de l'industrie et les premiers participants incluent Amazon Cloud Technology (AWS), Anthropic, Chainguard, Cisco, Citigroup, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft et son GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone et Zscaler. Ces participants couvrent des fournisseurs de services cloud, des laboratoires d'IA, des institutions financières et des fournisseurs de sécurité de la chaîne d'approvisionnement en logiciels, reflétant le consensus et l'anxiété du secteur concernant les risques de sécurité open source à l'ère de l'IA.
La Fondation Linux a souligné que dans le passé, en l'absence d'une coordination unifiée, plusieurs équipes de sécurité lançaient souvent des rapports indépendants et des tentatives de réparation sur les vulnérabilités du même composant open source, ce qui obligeait les responsables à communiquer, examiner et fusionner les correctifs à plusieurs reprises, ce qui non seulement ralentissait la vitesse des réparations, mais augmentait également le risque de correctifs dupliqués et de fragmentation en aval. Akrites intègre les découvertes de différentes organisations dans un processus de coordination via des canaux centralisés et des chaînes d'outils partagées, ce qui non seulement réduit la charge des responsables, mais permet également d'éviter l'approche de correctifs « en silo » dans les succursales privées et renforce la réparation unifiée en amont.
Dans le contexte de la sécurité de l'IA, Akrites met l'accent sur l'idée de « mise à niveau collaborative du défenseur » : d'une part, les modèles d'IA de pointe sont devenus un outil important pour découvrir les vulnérabilités open source, aidant les équipes de sécurité à auditer de manière automatisée des piles logicielles complexes ; d’un autre côté, les attaquants peuvent également utiliser des technologies similaires pour analyser et exploiter ces failles à plus grande échelle. La Linux Foundation estime que face à de tels changements dans les conditions d'attaque et de défense, un nouveau mécanisme au niveau de l'industrie est nécessaire pour garantir que le rythme de réparation des principaux logiciels open source puisse suivre la vitesse de découverte des vulnérabilités basée sur l'IA et pour empêcher l'infrastructure d'exposer des vulnérabilités exploitables à grande échelle dans un court laps de temps.
À l'heure actuelle, le projet Akrites a été lancé sur le site officiel et a démarré ses opérations. À l’avenir, il élargira progressivement la portée des composants open source clés couverts et établira des relations de coopération avec davantage de communautés et d’institutions. Bien que l'impact spécifique de ce projet sur la situation globale de la sécurité écologique de l'open source à court terme reste à voir, la Linux Foundation et ses partenaires espèrent clairement fournir une nouvelle ligne de défense systémique pour la chaîne d'approvisionnement open source à l'ère de l'IA en établissant une plate-forme d'élimination des vulnérabilités hautement coordonnée et axée sur la confidentialité.
apprendre encore plus:
https://akrites.org/
https://akrites.org/linux-foundation-and-industry-leaders-launch-akrites-to-defend-critical-open-source-software-against-ai-enabled-cyber-threats/