Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.
Sadržaj objave
Ključni podaci ZDNET-a za van
- Lightwell je sada usluga za obranu umjetne inteligencije otvorenog koda.
- Akrit i Atena imaju sličan pristup.
- Napadi vođeni umjetnom inteligencijom trebaju branitelje pokretane umjetnom inteligencijom.
Za programere softvera AI je i blagoslov i prokletstvo. S jedne strane, AI programerima omogućuje izradu programa brže nego ikad. S druge strane, AI omogućuje hakerima da još brže pronađu i iskoriste sigurnosne rupe.
Kako bismo se nosili s ovim, IBM i Crveni šešir pokrenuo projekt Lightwell.
Potpomognut 5 milijardi dolara vrijednom inicijativom koja se temelji na umjetnoj inteligenciji, Lightwellov posao je pronaći i popraviti ranjivosti u softveru otvorenog koda na industrijskoj razini. Sada je prešlo s projekta na proizvode: Lightwell Network i Lightwell Clearinghouse Premier.
Također: Sigurnost otvorenog koda je haos – IBM i Red Hat se klade u 5 milijardi dolara i 20.000 inženjera to može popraviti
Lightwell Network je općenito dostupan, dok Lightwell Clearinghouse Premier ulazi u fazu uključivanja s ograničenom dostupnošću. Prema tvrtkama, “Lightwell sada proširuje tu dokazanu zaštitu poduzeća na cijeli softverski portfelj organizacije.” Obje usluge pružaju način da se osiguraju komponente otvorenog koda za poduzeća, ne samo one koje se isporučuju unutar Red Hat i IBM proizvoda.
Turbo punjena sigurnost otvorenog koda
Obje tvrtke naglašavaju da se ne radi toliko o novom pristupu koliko o nabrijanom mega-projektu otvorenog koda koji podržava AI i 20.000 inženjera. To je “model izgrađen na desetljećima povjerenja, u kojem je Red Hat osigurao najkritičnije sustave na svijetu za tisuće korisnika”, i skalira ga da pokrije mnogo širi dio softverskog paketa.
U središtu ponude je ono što njih dvojica opisuju kao “sposobnost velike propusnosti generativnog mehanizma za sanaciju pokretanog umjetnom inteligencijom koji je već aktivan i radi u velikom broju.” Ovaj cjevovod automatizacije “kombinira granične modele umjetne inteligencije sa stručnošću ljudskog inženjeringa za prepoznavanje, provjeru valjanosti i ispravljanje ranjivosti u kritičnim ovisnostima ugrađenim duboko u moderne softverske arhitekture.”
Također: IBM kaže da može smjestiti gotovo 100 milijardi tranzistora na čip – zašto je prekretnica važna
Umjesto inzistiranja na tome da klijenti stalno jure uzvodna izdanja, Lightwell “koristi automatizaciju za backport kritičnih popravaka izravno u točne, dugovječne proizvodne verzije softvera, pomažući u rješavanju dugotrajnog regresijskog testiranja i prijelomnih promjena koje često paraliziraju timove prisiljene usvojiti velike upstream nadogradnje.”
Prvi novi proizvod, Lightwell Network, pruža “neposredan pristup aktivnoj i rastućoj biblioteci sadržaja koja obuhvaća najnovije do naslijeđenih biblioteka s ispravkama visoke vrijednosti.” Članovi primaju “stalni tok digitalno potpisanih binarnih datoteka, izvornog koda i sveobuhvatnih artefakata usklađenosti, uključujući potpune popise materijala za softver (SBOM), isporučene izravno u postojeće cjevovode bez odstupanja koda.”
Drugi, Lightwell Clearinghouse Premier, “dizajniran je da služi kao pouzdani posrednik za duboku suradnju u industriji, naprednu vertikalnu koordinaciju prijetnji i osiguran embargo na zakrpe.”
U početku će Lightwell Clearinghouse Premier biti ograničen na financijske usluge. Organizacije koje sudjeluju mogu prijaviti ranjivosti i zatražiti “ispravljanje ciljane verzije u okviru sigurnog embarga”. Ako uspije, proširit će se na vladu, zdravstvo i telekomunikacije.
Kako Lightwell mijenja jednadžbu krpanja
IBM i Red Hat izričiti su da je cilj ono što opisuju kao pokvareni model sanacije u doba jeftine eksploatacije vođene umjetnom inteligencijom. S open source “pokretanjem poslovnog softvera”, tvrde oni, “ogromna količina i 50 dolara generirana AI eksploatacija slomila su tradicionalno upravljanje zakrpama.” Lightwell, tvrde dobavljači, dizajniran je za ublažavanje ovog nepreslikanog rizika i neutraliziranje uskih grla u izvršenju procjenom konteksta aplikacije i interakcija ovisnosti kako bi se potvrđeni popravci isporučili izravno u aktivne tijekove rada.
Kao što je rekao Matt Hicks, predsjednik i glavni izvršni direktor Red Hata, “Lightwell predstavlja temeljnu strukturnu promjenu u načinu na koji osiguravamo sav poslovni softver. Spajanjem automatiziranih sanacija s našim dubokim inženjerskim nasljeđem, cilj nam je isporučiti pouzdanu infrastrukturu potrebnu za pouzdano, održivo korištenje otvorenog izvornog koda i brzinama najnižeg modela.”
Također: Zaglavili ste u AI pilot modu? IBM ima rješenje koje će vam pomoći u skaliranju – bez kidanja svega
Rob Thomas, IBM-ov stariji potpredsjednik za softver i glavni komercijalni direktor, naglašava “mi ćemo obaviti težak posao za vas”. “IBM i Red Hat daju tvrtkama certificirane popravke koje mogu uvući izravno u sustave koje već pokreću, bez preinake ili prekida, uz podršku rastuće mreže tehnoloških i isporučnih partnera”, rekao je.
Lightwell se također uvelike oslanja na Red Hatov model “upstream-always”. Prema najavi, “sigurnosni popravci se aktivno šalju natrag izvornoj zajednici otvorenog koda na pregled i prihvaćanje”, što je namijenjeno za osiguranje “komercijalne zaštite i zdravlja zajednice da se međusobno neprestano jačaju, sprječavajući fragmentaciju projekta bez rizika od nula dana u proizvodnji.”
To zvuči dobro, ali IBM i Red Hat nisu jedini koji žele koristiti AI za obranu koda otvorenog koda od napadača vođenih AI-jem.
Gdje Akrites odgovara
Lightwell ne postoji u vakuumu. Zaklada Linux, zajedno s industrijskim partnerima, nedavno je pokrenuta Akrites za obranu kritičnog softvera otvorenog koda od prijetnji omogućenih umjetnom inteligencijom. Akrites ublažava rizike opskrbnog lanca softvera otvorenog koda ojačavanjem kritičnih projekata otvorenog koda. To čini stvaranjem zajedničkog okvira za koordinaciju održavanja i korisnika u pogledu ozbiljnih ranjivosti.
Dok je Lightwell komercijalna usluga, Akrites je napor kojim upravljaju zaklade koji se fokusira na proces i koordinaciju za same projekte. Njegov cilj je pružiti održavateljima i korisnicima kritične infrastrukture povjerljiv, strukturiran način za rukovanje nedostacima koje je otkrila umjetna inteligencija, standardizirajući sanaciju ranjivosti i otkrivanje, umjesto da isporučuje pozadinske zakrpe specifične za poduzeće.
Također: Red Hat Desktop u odnosu na Fedora Hummingbird: Koji put razvoja AI Linuxa je pravi za vas?
Te se linije već zamagljuju. U najavi Lightwella, Microsoftov potpredsjednik partnerskog razvoja neovisnog dobavljača softvera (ISV), Sandy Gupta, ukazuje izravno na to raskrižje: “Brzina u isporuci zakrpa korisnicima je ključna. Već radimo zajedno s IBM-om i Red Hatom kao dio napora Akrites Linux Foundationa i sada proširujemo tu suradnju na Lightwell kako bismo osigurali da kritični popravci dođu do kupaca što je brže moguće koristeći najbrže mehanizme i alate za isporuku.”
U praksi, Akrites ima za cilj oblikovati kako kritični projekti otvorenog koda rješavaju ranjivosti u svijetu ubrzanom umjetnom inteligencijom, dok Lightwell nudi poduzećima način da iskoriste te popravke i pozadinske portove koje je projektirao IBM/Red Hat pod ugovorom.
Gdje pristaje Chainguardova Athena
Chainguardova koalicija Athena zauzima još jedan kut ove brze sigurnosne utrke. Athena je industrijska koalicija koja štiti softver otvorenog koda od AI napada. Napravljen je za eru graničnog modela, gdje AI sustavi mogu pronaći ozbiljne nedostatke brže nego što ih itko može zakrpati.
Poput Lightwella, Athena je uokvirena kao neka vrsta klirinške kuće koju pokreće AI, ali umjesto usluge jednog dobavljača, ona objedinjuje nalaze ranjivosti i rad na sanaciji “preko dva tuceta organizacija”, uključujući banke i glavne pružatelje infrastrukture, kao i programere.
Athena već objavljuje rane metrike. Prema Štitnik lanca“Athena je danas operativna. Obradila je 40.000+ nalaza i generirala 2.000+ zakrpa u 500+ projekata otvorenog koda. Koalicija koristi AI za pronalaženje i popravljanje ranjivosti u široko korištenom softveru otvorenog koda prije nego što ih napadači mogu iskoristiti.” Njegov fokus je na knjižnicama, spremnicima i drugim komponentama koje podupiru kritične sustave.
Također: Koliko je vaša organizacija digitalno suverena? Ovaj Red Hat alat može vam reći za nekoliko minuta
Kao osnivač i izvršni direktor Chainguarda Dan Lorenc objasnio“Athena pruža mjesto za organizacije za pronalaženje → popravak → štit → površina → otkrivanje ranjivosti koje otkrivaju granični modeli umjetne inteligencije. Nalazi dolaze iz cijele koalicije. Izrađujemo popravke pod embargom. Partneri gomilaju zaštitu bez zakrpa oko sebe. Izlažemo izloženosti koja bi inače ostala nevidljiva. A onda se trajni popravci šalju kući uzvodnim održavateljima koji ih mogu učiniti trajnim.”
Za razliku od Lightwellovog naglaska na isporuci pozadinskih portova spremnih za poduzeća u korisničke kanale, Athenin radni tijek počinje skupljenim nalazima umjetne inteligencije koji se “dedupliciraju, trijažiraju i obogaćuju u zajedničkoj klirinškoj kući”, nakon čega članovi koalicije surađuju na zakrpama i ublažavanju prije nego što ranjivosti postanu javne.
Kada čista zakrpa još nije dostupna, “Athena postavlja nezavisne zaštite tako da pokrivenost ostaje čak i u nedostatku pravovremene zakrpe, i nastavlja nadzirati svaki nedostatak dok se ne uspostavi robusno uzvodno rješenje.” Ti popravci zatim trebaju teći uzvodno iu Chainguardove vlastite sigurnosne artefakte prema zadanim postavkama, uključujući minimalne slike i pakete usklađene sa SLSA.
Tri modela za obranu otvorenog koda iz doba umjetne inteligencije
Uzeti zajedno, Lightwell, Akrites i Athena skiciraju tri različita i sve više preklapajuća odgovora na isti temeljni problem: jeftini, brzi AI alati koji mogu otkriti i naoružati nedostatke u zajedničkim dobrima otvorenog koda brže nego što tradicionalni cjevovodi za zakrpe mogu držati korak.
Također: IBM kaže da može smjestiti gotovo 100 milijardi tranzistora na čip – zašto je prekretnica važna
Akrites se usredotočuje na upravljanje i procese za kritične projekte, pokušavajući standardizirati način na koji održavatelji i ključni korisnici postupaju s ranjivostima koje pokreće AI i zakrpama pod embargom. Athena objedinjuje istraživanje ranjivosti ubrzano umjetnom inteligencijom u međuindustrijsku koaliciju koja dijeli nalaze, koordinira popravke prije otkrivanja i gura popravke uzvodno dok ih unosi u čvrste artefakte lanca opskrbe. Lightwell je, nasuprot tome, izravno usmjeren na poduzeća koja ne žele nikakvu gužvu ili gužvu, samo certificirane popravke koje mogu uvući ravno u sustave koje već pokreću, bez preinake ili prekida.
U bliskoj budućnosti, trebat ćemo sve njih i više njih. AI transformira i softver otvorenog koda i sigurnost. Sve dok ne razradimo put naprijed kako bismo istinski osigurali naš kod, morat ćemo isprobati sve ove pristupe i vidjeti koji će najbolje funkcionirati u zaštiti nas i naših programa.
