Половина дюжины гигантов из сферы Big Tech выделила гранты на общую сумму 12,5 миллиона долларов для проекта, цель которого — помочь мейнтейнерам проектов с открытым исходным кодом справляться с отчетами об ошибках, сгенерированными ИИ.
«По мере усложнения ландшафта безопасности достижения в области ИИ резко увеличивают скорость и масштаб обнаружения уязвимостей в программном обеспечении с открытым исходным кодом», — говорится в заявлении Фонда Linux об этой инициативе. «Мейнтейнеры теперь сталкиваются с беспрецедентным наплывом сообщений о проблемах безопасности, многие из которых генерируются автоматизированными системами, при этом у них нет ресурсов или инструментов, необходимых для их эффективной сортировки и устранения».
Anthropic, AWS, GitHub, Google, Microsoft и OpenAI решили помочь, коллективно выделив на проект 12,5 миллиона долларов.
Alpha-Omega, проект Фонда Linux, работающий над повышением безопасности цепочек поставок открытого исходного кода, будет курировать новые усилия совместно с Фондом безопасности открытого исходного кода (OpenSSF).
Нам сообщили, что обе организации «работают напрямую с мейнтейнерами и их сообществами, чтобы сделать новые возможности обеспечения безопасности доступными, практически применимыми и согласованными с существующими рабочими процессами проектов». Далее: «Эти усилия будут поддерживать устойчивые стратегии, которые помогут мейнтейнерам управлять растущими требованиями к безопасности, одновременно повышая общую устойчивость экосистемы открытого исходного кода».
Заявление Фонда Linux включает стандартную цитату от Грега Кроа-Хартмана из проекта ядра Linux, которая начинается словами: «Одних только грантов будет недостаточно для решения проблемы, которую сегодня создают инструменты ИИ для команд по безопасности открытого исходного кода».
Не бойтесь, добрый читатель, ГКХ не отверг эту идею. Цитата продолжается: «OpenSSF обладает активными ресурсами, необходимыми для поддержки многочисленных проектов, которые помогут этим перегруженным мейнтейнерам с сортировкой и обработкой возросшего объема отчетов о безопасности, генерируемых ИИ, которые они в настоящее время получают».
Нет никакой информации о том, что именно будет делать этот проект и когда он начнется.
Проблема наводнения мейнтейнеров FOSS отчетами об ошибках, сгенерированными ИИ, не нова. Фонд программного обеспечения Python жаловался на это в конце 2024 года. Совсем недавно мейнтейнер популярного инструмента передачи данных с открытым исходным кодом cURL прекратил программу вознаграждений за обнаружение ошибок в проекте из-за трудностей, вызванных наводнением вкладов, сгенерированных ИИ.
Даже GitHub от Microsoft рассматривал возможность принятия мер в отношении потока низкокачественных вкладов в проекты FOSS, сгенерированных ИИ. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Simon Sharwood
