IBM ו-Red Hat משיקים את Lightwell כדי להגן על קוד קוד פתוח מפני התקפות AI
עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.
נקודות המפתח של ZDNET
- Lightwell הוא כעת שירות להגנת AI בקוד פתוח.
- אקריטס ואתנה נוקטים בגישות דומות.
- התקפות מונעות בינה מלאכותית זקוקות למגנים המונעים בינה מלאכותית.
עבור מפתחי תוכנה, בינה מלאכותית היא גם ברכה וגם קללה. מצד אחד, AI מאפשר למפתחים לבנות תוכניות מהר מתמיד. מצד שני, בינה מלאכותית מאפשרת להאקרים למצוא ולנצל חורי אבטחה אפילו מהר יותר.
כדי להתמודד עם זה, IBM ו רד האט השיקה את Project Lightwell.
מגובה ביוזמה של 5 מיליארד דולר, מונעת בינה מלאכותית, תפקידה של Lightwell הוא למצוא ולתקן נקודות תורפה בתוכנת קוד פתוח בקנה מידה תעשייתי. כעת, זה עבר מפרויקט למוצרים: Lightwell Network ו-Lightwell Clearinghouse Premier.
גַם: אבטחת קוד פתוח היא בלגן – יבמ ורד האט הימרו על 5 מיליארד דולר ו-20,000 מהנדסים יכולים לתקן את זה
רשת Lightwell זמינה בדרך כלל, בעוד ש-Lightwell Clearinghouse Premier נכנסת לשלב הצטרפות עם זמינות מוגבלת. לדברי החברות, "Lightwell מרחיבה כעת את ההגנה הארגונית המוכחת הזו לכל תיק התוכנה של הארגון". שני השירותים מספקים דרך לאבטח רכיבי קוד פתוח עבור ארגונים, לא רק לאלה שנשלחים בתוך מוצרי Red Hat ו-IBM.
אבטחת קוד פתוח טעונה טורבו
שתי החברות מדגישות שזו לא כל כך גישה חדשה אלא מגה-פרוייקט קוד פתוח מוגדש הנתמך על ידי AI ו-20,000 מהנדסים. זהו "מודל שנבנה על עשרות שנים של אמון, שבו רד האט אבטחה את המערכות הקריטיות ביותר בעולם לאלפי לקוחות", ומרחיבה אותו כך שיכסה חלק גדול בהרבה מחסנית התוכנה.
בלב ההיצע הוא מה שהצמד מתאר כ"יכולת התפוקה הגבוהה של מנוע תיקון יצירתי המופעל על ידי בינה מלאכותית שכבר פעיל ופועל בקנה מידה". צינור אוטומציה זה "משלב מודלים של AI עם מומחיות בהנדסת אנוש כדי לזהות, לאמת ולתקן נקודות תורפה על פני תלות קריטית המוטמעת עמוק בתוך ארכיטקטורות תוכנה מודרניות".
גַם: יבמ אומרת שהיא יכולה להתאים כמעט 100 מיליארד טרנזיסטורים על שבב – למה אבן הדרך חשובה
במקום להתעקש שלקוחות רודפים ללא הרף אחרי מהדורות במעלה הזרם, Lightwell "משתמשת באוטומציה כדי להעביר תיקונים קריטיים ישירות לגרסאות תוכנת ייצור מדויקות וארוכות חיים, ועוזרת להתמודד עם בדיקות הרגרסיה הארוכות ושבירת השינויים שלעתים קרובות משתקים צוותים הנאלצים לאמץ שדרוגים גדולים במעלה הזרם".
המוצר החדש הראשון, Lightwell Network, מספק "גישה מיידית לספריית תוכן פעילה וצומחת המשתרעת על פני ספריות עתיקות עד ספריות מדור קודם עם תיקונים בעלי ערך גבוה". החברים מקבלים "זרם רציף של קבצים בינאריים חתומים דיגיטלית, קוד מקור וחפצי תאימות מקיפים, לרבות שטרי חומרי תוכנה מלאים (SBOM), המועברים ישירות לצינורות קיימים ללא סחף קוד."
השני, Lightwell Clearinghouse Premier, "נועד לשמש כמתווך מהימן לשיתוף פעולה מעמיק בתעשייה, תיאום איומים אנכי מתקדם ואמברגו מאובטח של תיקונים".
בתחילה, Lightwell Clearinghouse Premier תהיה מוגבלת לשירותים פיננסיים. הארגונים המשתתפים יכולים להגיש נקודות תורפה ולבקש "תיקון גרסה ממוקד תחת חלון אמברגו מאובטח". אם יצליח, הוא יורחב לממשלה, שירותי בריאות וטלקומוניקציה.
כיצד Lightwell משנה את משוואת התיקון
יבמ ורד האט מפורשות שהמטרה היא מה שהן מתארות כמודל תיקון שבור בעידן של ניצול זול מונע בינה מלאכותית. עם קוד פתוח "מריץ תוכנה ארגונית", הם טוענים, "נפח עצום וניצול של 50 דולר בינה מלאכותית שברו את ניהול התיקון המסורתי". Lightwell, טוענים הספקים, נועדה לצמצם את הסיכון הלא ממופה הזה ולנטרל צווארי בקבוק בביצוע על ידי הערכת הקשר בין אפליקציות ותלותיות כדי לספק תיקונים מאומתים ישירות לתוך זרימות עבודה אקטיביות.
כפי שאמר מאט היקס, נשיא ומנכ"ל רד האט, "לייטוול מייצגת שינוי מבני מהותי באופן שבו אנו מאבטחים את כל התוכנות הארגוניות. על ידי שילוב של תיקון אוטומטי עם המורשת ההנדסית העמוקה שלנו, אנו שואפים לספק את התשתית המהימנה הנדרשת לצריכת קוד פתוח בצורה מהימנה, בר קיימא, ובמהירויות מודל גבוליות".
גַם: תקוע במצב טייס AI? ל-IBM יש פתרון שיעזור לך להגדיל את הגודל – מבלי לקרוע הכל
רוב תומאס, סגן נשיא בכיר לתוכנה ומנהל מסחרי ראשי של IBM, מדגיש את הזווית "אנחנו נעשה את העבודה הקשה בשבילך". "IBM ו-Red Hat נותנות לארגונים תיקונים מאושרים שהם יכולים למשוך ישר לתוך המערכות שהם כבר מריצים, ללא עיבוד מחדש או הפרעה, בגיבוי רשת הולכת וגדלה של שותפים טכנולוגיים ומשלוחים", אמר.
לייטוול גם נשען בכבדות על דגם ה-"Upstream-always" של Red Hat. על פי ההודעה, "תיקוני אבטחה מוגשים באופן פעיל בחזרה לקהילת הקוד הפתוח המקורית לבדיקה וקבלה", שנועדה להבטיח "הגנות מסחריות ובריאות הקהילה מחזקים זה את זה ללא הרף, ומונעים פיצול פרויקטים מבלי להסתכן באפס ימי הייצור".
זה נשמע טוב, אבל IBM ו-Red Hat הן לא היחידות שמבקשות להשתמש בבינה מלאכותית כדי להגן על קוד קוד פתוח מפני תוקפים מונעי בינה מלאכותית.
איפה אקריטס מתאים
Lightwell לא קיימת בחלל ריק. קרן לינוקס, יחד עם שותפים בתעשייה, הושקה לאחרונה Akrites להגן על תוכנת קוד פתוח קריטית מפני איומים התומכים בבינה מלאכותית. Akrites מפחית סיכונים בשרשרת האספקה של תוכנה בקוד פתוח על ידי הקשחת פרויקטים קריטיים בקוד פתוח. הוא עושה זאת על ידי יצירת מסגרת משותפת לאופן שבו מתחזקים וצרכנים מתאמים על פגיעויות חמורות.
בעוד Lightwell הוא שירות מסחרי, Akrites הוא מאמץ המנוהל על ידי קרן המתמקד בתהליך ותיאום עבור הפרויקטים עצמם. מטרתו היא לתת לתחזוקה ולמשתמשי תשתית קריטית דרך סודית ומובנית להתמודד עם פגמים שהתגלו בינה מלאכותית, סטנדרטיזציה של תיקון וחשיפה של פגיעות במקום לספק טלאים ספציפיים לארגון, עם חיבורים אחוריים.
גַם: Red Hat Desktop לעומת Fedora Hummingbird: איזה נתיב לינוקס לפיתוח AI מתאים לך?
הקווים האלה כבר מטשטשים. בהודעת Lightwell, סמנכ"ל פיתוח שותפים של ספקי תוכנה עצמאיים (ISV), Sandy Gupta, מצביעה ישירות על הצומת הזה: "מהירות אספקת התיקונים ללקוחות היא קריטית. אנחנו כבר עובדים יחד עם IBM ו-Red Hat כחלק ממאמץ Akrites של קרן לינוקס וכעת מרחיבים את שיתוף הפעולה הזה ל-Lightwell כדי להבטיח שתיקונים קריטיים יגיעו ללקוחות במהירות המהירה ביותר.
בפועל, Akrites שואפת לעצב את האופן שבו פרויקטים קריטיים בקוד פתוח מטפלים בנקודות תורפה בעולם מואץ בינה מלאכותית, בעוד ש-Lightwell מציעה לארגונים דרך לצרוך את התיקונים הללו ויציאות אחוריות מהונדסים של IBM/Red Hat במסגרת חוזה.
איפה אתנה של Chainguard מתאים
קואליציית אתנה של ה-Chainguard תופסת עוד פינה במרוץ האבטחה המהיר הזה. Athena היא קואליציה בתעשייה המגנה על תוכנת קוד פתוח מפני התקפות בינה מלאכותית. הוא נבנה לעידן מודל החזית, שבו מערכות בינה מלאכותית יכולות למצוא פגמים חמורים מהר יותר ממה שמישהו יכול לתקן אותם.
בדומה ל-Lightwell, Athena ממוסגרת כמעין מסלקה המופעלת על ידי בינה מלאכותית, אך במקום שירות של ספק יחיד, היא מאגדת ממצאי פגיעות ועבודות תיקון של "מעל שני תריסר ארגונים", כולל בנקים וספקי תשתיות גדולים, כמו גם מפתחים.
אתנה כבר מפרסמת מדדים מוקדמים. לְפִי מגן שרשרת"אתנה פעילה היום. היא עיבדה 40,000+ ממצאים ויצרה 2,000+ תיקונים על פני 500+ פרויקטי קוד פתוח. הקואליציה משתמשת ב-AI כדי למצוא ולתקן נקודות תורפה בתוכנות קוד פתוח בשימוש נרחב לפני שתוקפים יכולים לנצל אותן." ההתמקדות שלו היא בספריות, קונטיינרים ורכיבים אחרים העומדים בבסיס מערכות קריטיות.
גַם: עד כמה הארגון שלך ריבוני מבחינה דיגיטלית? כלי Red Hat זה יכול להגיד לך תוך דקות
כמייסד ומנכ"ל Chainguard, דן לורנץ מוּסבָּר"אתנה מספקת מקום לארגונים למצוא → לתקן → מגן → משטח → לחשוף נקודות תורפה שדגמי בינה מלאכותית מגלים. ממצאים מגיעים מכל הקואליציה. אנו בונים תיקונים תחת אמברגו. שותפים עורמים סביבם הגנה ללא תיקון. אנו מעלים חשיפות שאחרת היו נשארות בלתי נראות. ולאחר מכן שומרים על פתרונות ביתיים שיכולים להמציא אותם לתיקונים קבועים."
בניגוד לדגש של Lightwell על שליחת יציאות אחוריות מוכנות לארגונים לתוך צינורות הלקוחות, זרימת העבודה של Athena מתחילה בממצאי AI מאוחדים ש"מפותקים, משולבים ומועשרים במסלקה משותפת", שלאחר מכן חברי הקואליציה משתפים פעולה בתיקונים והפחתות לפני שפגיעות פומביות.
כאשר תיקון נקי עדיין לא זמין, "אתנה מורידה הגנות עצמאיות כך שהכיסוי נשאר גם בהיעדר תיקון בזמן, וממשיכה לעקוב אחר כל פגם עד ליצירת פתרון חזק במעלה הזרם". התיקונים הללו נועדו אז לזרום במעלה הזרם ולתוך החפצים המאובטחים של Chainguard משלו, כולל תמונות וחבילות מינימליות תואמות SLSA.
שלושה דגמים להגנה על קוד פתוח מתקופת הבינה המלאכותית
ביחד, Lightwell, Akrites ואתנה משרטטים שלוש תגובות שונות וחופפות יותר ויותר לאותה בעיה בסיסית: כלי בינה מלאכותית זולים ומהירים שיכולים לגלות וליצור נשק של פגמים במשותף של קוד פתוח מהר יותר מאשר צינורות תיקון מסורתיים יכולים לעמוד בקצב.
גַם: יבמ אומרת שהיא יכולה להתאים כמעט 100 מיליארד טרנזיסטורים על שבב – למה אבן הדרך חשובה
Akrites מתמקדת בממשל ובתהליכים עבור פרויקטים קריטיים, ומנסה לתקן את האופן שבו מתחזקים ומשתמשי מפתח מטפלים בפגיעויות מונעות בינה מלאכותית ותיקונים שעליהם אמברגו. אתנה עוטפת מחקר פגיעות מואץ של בינה מלאכותית בקואליציה חוצת תעשיות שחולקת ממצאים, מתאמת תיקון טרום חשיפה ודוחפת תיקונים במעלה הזרם, תוך שהיא גם מזינה אותם לחפצים מוקשחים של שרשרת האספקה. Lightwell, לעומת זאת, מכוונת באופן ישיר לארגונים שלא רוצים שום התעסקות או מהומה, רק תיקונים מאושרים שהם יכולים למשוך ישר לתוך המערכות שהם כבר מריצים, ללא עיבוד מחדש או הפרעה.
לעתיד המיידי, נצטרך את כולם ועוד חוץ מזה. AI משנה גם תוכנת קוד פתוח וגם אבטחה. עד שנמצא מסלול קדימה לאבטחת הקוד שלנו באמת, נצטרך לנסות את כל הגישות הללו ולראות אילו מהן יעבדו הכי טוב כדי להגן עלינו ועל התוכניות שלנו.