de.wedoany.com-Bericht: Die Technologieunternehmen Anthropic, Amazon Web Services (AWS), IBM und Microsoft haben gemeinsam angekündigt, eine Initiative zu starten, die darauf abzielt, Sicherheitslücken in Open-Source-Software zu finden, offenzulegen und zu beheben.

Die Organisation heißt Akrites und hat die Kernaufgabe, ein gemeinsames Team für die Reaktion auf Sicherheitsvorfälle aufzubauen und den Prozess der koordinierten Offenlegung von Schwachstellen zu verbessern. Die Allianz wird von der Linux Foundation geleitet, und die Gründungsmitglieder werden erhebliche Ressourcen wie Geld, Ingenieure und Cybersicherheitsexpertise in diese Arbeit einbringen.
Beamte erklärten, dass dieser Plan hauptsächlich durch fortschrittliche KI-Modelle vorangetrieben wird, die die Fähigkeit, kritische Schwachstellen in Softwareanwendungen zu finden, erheblich beschleunigt haben. Gleichzeitig haben böswillige Akteure in den letzten Monaten gezeigt, dass sie KI für komplexe Angriffe bewaffnen können. Das bestehende Open-Source-Ökosystem ist bei der Geschwindigkeit der Fehlererkennung und -behebung unzureichend, um Millionen von Nutzern vor potenziellen Angriffen zu schützen. Die Organisation skizzierte einige dieser Bedenken in einem offenen Brief an die Branche.
„Künstliche Intelligenz hat das bisherige Gleichgewicht zwischen Angreifern und Verteidigern gebrochen und die Landschaft der Softwarenutzung und -wiederverwendung verändert“, schrieb die Allianz in dem Brief.
Christopher Robinson, Chief Technology Officer der Open Source Security Foundation und Chief Security Architect der Linux Foundation, sagte, dass Akrites darauf abzielt, einige systemische Herausforderungen zu lösen, mit denen die Open-Source-Community bei der Entwicklung eines koordinierten Prozesses zur Offenlegung von Schwachstellen konfrontiert ist. Er wies darauf hin, dass das Aufkommen großer Sprachmodelle und komplexer Scan-Tools in den letzten Jahren diese historischen Herausforderungen noch verschärft habe.
„Upstream-Projekte werden mit einer Flut von Schwachstellenmeldungen unterschiedlicher Qualität überschwemmt, die weit über die Fähigkeiten dieser freiwilligen Entwickler hinausgehen, sie zu bewerten und zu verfolgen“, sagte Robinson gegenüber Cybersecurity Dive.
Die Startfinanzierung für Akrites wird vom Alpha Omega-Fonds der Linux Foundation bereitgestellt. Andere Organisationen werden aufgefordert, zusätzliche Ressourcen oder Ingenieurtalente bereitzustellen.
In den letzten Jahren wuchs in der Open-Source-Community die Sorge, dass traditionelle Betreuer Schwachstellen nicht schnell genug finden und offenlegen können, um weitreichende Lieferketten-Angriffe zu verhindern. Varun Badhwar, Mitbegründer und CEO von Endor Labs, erklärte gegenüber Cybersecurity Dive, dass nur einen Monat nach der Ankündigung von Project Glasswing über 23.000 Schwachstellen gefunden wurden, die etwa 1.000 Open-Source-Projekte betrafen. Davon wurden etwa 6.000 als schwerwiegend oder kritisch eingestuft. Darüber hinaus entdeckten Partner von Glasswing weitere 10.000 schwerwiegende oder kritische Fehler. Bislang wurden jedoch nur 5 % dieser Schwachstellen behoben.
„Kein freiwilliges Ökosystem kann einen solchen Ansturm verkraften“, sagte Badhwar.
Zu den weiteren Gründungsunternehmen von Akrites gehören Cisco, Citigroup, JPMorgan Chase, Nvidia, OpenAI, Ericsson und andere.









