Nuova iniziativa per la protezione del software open source

La Linux Foundation ha lanciato insieme a un'ampia serie di aziende tecnologiche e finanziarie l'iniziativa Akrites, volta a garantire una gestione centralizzata delle vulnerabilità di sicurezza nel software open source. L’obiettivo principale è individuare in modo rapido le debolezze, risolverle in collaborazione con gli sviluppatori e rendere pubbliche le patch solo quando necessario. Ciò si rende urgente a causa dell'aumentato livello di rischio causato dall'accelerazione nel rilevamento delle vulnerabilità generato dagli ultimi modelli di intelligenza artificiale.

Fra i fondatori figurano aziende di spicco come Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft, GitHub, Nvidia, OpenAI, Red Hat, ma anche Citi, JPMorgan Chase e Vodafone. Tutti promettono supporto in termini di personale, competenze di sicurezza e mezzi finanziari.

Risposta alla rapida analisi di vulnerabilità basata sull'intelligenza artificiale

La Linux Foundation sottolinea che la generativa AI sta trasformando radicalmente il paesaggio della sicurezza. Mentre la ricerca attiva di bug gravi richiedeva una notevole competenza e spesso settimane di lavoro, modelli potenti di intelligenza artificiale possono ora ispezionare grandi code open source per potenziali problemi in pochi minuti solo. Questo riduce notevolmente il periodo tra il momento in cui si scopre un bug e il rischio che possa essere sfruttato, aumentando così la pressione per i difensori.

In risposta, Akrites introduce un processo di sicurezza congiunto. Invece di gestire le stesse vulnerabilità in maniera individuale e frammentata, Akrites mira a coordinare l'azione attraverso un Security Incident Response Team (SIRT) comune e un sistema unitario di comunicazione delle vulnerabilità (CVD). Le organizzazioni coinvolte si concentreranno sul risolvere insieme i bug con i maintainer upstream e soltanto dopo renderanno pubbliche le informazioni necessarie.

Sostenere i mantainer di progetti open source

Un obiettivo importante dell'iniziativa è la collaborazione proattiva con i sviluppatori dei progetti interessati. Secondo la Linux Foundation, gli aggiustamenti al software devono fluire sempre verso i progetti originali. Gli sviluppatori manterranno il controllo del loro lavoro e non saranno inondati da segnalazioni ripetute o contrastanti di vulnerabilità.

Per i progetti che non ricevono attenzione da parte dei loro maintainer, Akrites prevede il ruolo di “Maintainer of Last Resort”. In questo caso, l'iniziativa si assume la responsabilità di fornire aggiornamenti sicuri per le versioni attuali, in modo da risolvere le criticità nel software non più mantenuto.

Solide basi tecniche

Il lavoro tecnico di Akrites si baserà su standard ampiamente riconosciuti nel settore della sicurezza informatica. Si tratta di CVE per l’identificazione precisa delle debolezze, CVSS per valutarne la gravità e CWE per classificarne il tipo. Questi principi permettono all’iniziativa di integrarsi efficacemente nei processi esistenti delle aziende di software, ricercatori di sicurezza e infrastrutture critiche.

Finanziamenti iniziali sono assicurati da Alpha-Omega, un fondo istituito dalla Linux Foundation esclusivamente per la sicurezza open source. Altri soggetti possono contribuire offrendo risorse tecnologiche o finanziarie. Parallelamente al lancio, Akrites ha pubblicato un appello aperto, incoraggiando altre organizzazioni a partecipare per proteggere l’infrastruttura open source in modo collettivo.