Inicio Tecnología IBM y Purple Hat lanzan Lightwell para defender el código abierto de...

IBM y Purple Hat lanzan Lightwell para defender el código abierto de los ataques de IA

16
0

IBM/Sombrero Rojo

Siga ZDNET: Agréganos como fuente preferida en Google.


Conclusiones clave de ZDNET

  • Lightwell es ahora un servicio para la defensa de IA de código abierto.
  • Akrites y Atenea están adoptando enfoques similares.
  • Los ataques impulsados ​​por IA necesitan defensores impulsados ​​por IA.

Para los desarrolladores de software program, la IA es a la vez una bendición y una maldición. Por un lado, la IA permite a los desarrolladores crear programas más rápido que nunca. Por otro lado, la IA permite a los piratas informáticos encontrar y explotar agujeros de seguridad aún más rápido.

Para lidiar con esto, IBM y sombrero rojo lanzó el Proyecto Lightwell.

Respaldado por una iniciativa de 5 mil millones de dólares impulsada por inteligencia synthetic, el trabajo de Lightwell es encontrar y corregir vulnerabilidades en software program de código abierto a escala industrial. Ahora, pasó de un proyecto a productos: Lightwell Community y Lightwell Clearinghouse Premier.

También: La seguridad del código abierto es un desastre: IBM y Purple Hat apuestan 5.000 millones de dólares y 20.000 ingenieros pueden solucionarlo

Lightwell Community está disponible con carácter basic, mientras que Lightwell Clearinghouse Premier está entrando en una fase de incorporación de disponibilidad limitada. Según las empresas, «Lightwell ahora extiende esa protección empresarial probada a toda la cartera de software program de una organización». Ambos servicios brindan una forma de proteger componentes de código abierto para empresas, no solo aquellos que se incluyen dentro de los productos Purple Hat e IBM.

Seguridad de código abierto turboalimentada

Ambas compañías enfatizan que no se trata tanto de un enfoque nuevo como de un megaproyecto de código abierto sobrealimentado respaldado por IA y 20.000 ingenieros. Es «un modelo construido sobre décadas de confianza, en el que Purple Hat ha asegurado los sistemas más críticos del mundo para miles de clientes», y lo está ampliando para cubrir una porción mucho más amplia de la pila de software program.

En el corazón de la oferta está lo que la pareja describe como «la capacidad de alto rendimiento de un motor de remediación generativo impulsado por IA que ya está activo y operando a escala». Este proceso de automatización «combina modelos de IA de vanguardia con experiencia en ingeniería humana para identificar, validar y remediar vulnerabilidades en dependencias críticas integradas profundamente en las arquitecturas de software program modernas».

También: IBM cube que puede colocar casi 100 mil millones de transistores en un chip: por qué es importante este hito

En lugar de insistir en que los clientes busquen constantemente lanzamientos upstream, Lightwell «utiliza la automatización para respaldar las correcciones críticas directamente en versiones de software program de producción exactas y de larga duración, lo que ayuda a abordar las largas pruebas de regresión y los cambios importantes que a menudo paralizan a los equipos obligados a adoptar importantes actualizaciones upstream».

El primer producto nuevo, Lightwell Community, proporciona «acceso inmediato a una biblioteca de contenido activa y en crecimiento que abarca las bibliotecas más recientes y heredadas con soluciones de alto valor». Los miembros reciben «un flujo continuo de binarios firmados digitalmente, código fuente y artefactos de cumplimiento integrales, incluidas listas de materiales de software program (SBOM) completas, entregados directamente a los canales existentes sin deriva de código».

El segundo, Lightwell Clearinghouse Premier, está «diseñado para servir como un intermediario confiable para una colaboración profunda de la industria, una coordinación vertical avanzada de amenazas y embargos de parches seguros».

Inicialmente, Lightwell Clearinghouse Premier se limitará a servicios financieros. Las organizaciones participantes pueden enviar vulnerabilidades y solicitar «corrección de versión específica bajo una ventana de embargo segura». Si tiene éxito, se ampliará al gobierno, la atención sanitaria y las telecomunicaciones.

Cómo Lightwell cambia la ecuación de parcheo

IBM y Purple Hat son explícitos en que el objetivo es lo que describen como un modelo de remediación fallido en la period de la explotación barata impulsada por la IA. Con el código abierto «que ejecuta software program empresarial», argumentan, «un volumen masivo y exploits generados por IA de 50 dólares han roto la gestión tradicional de parches». Lightwell, afirman los proveedores, está diseñado para mitigar este riesgo no asignado y neutralizar los cuellos de botella en la ejecución mediante la evaluación del contexto de la aplicación y las interacciones de dependencia para ofrecer correcciones validadas directamente en los flujos de trabajo activos.

Como dijo Matt Hicks, presidente y director ejecutivo de Purple Hat, «Lightwell representa un cambio estructural basic en la forma en que protegemos todo el software program empresarial. Al combinar la remediación automatizada con nuestra profunda herencia de ingeniería, nuestro objetivo es ofrecer la infraestructura confiable necesaria para consumir código abierto de manera confiable, sustentable y a velocidades de modelo de vanguardia».

También: ¿Atrapado en el modo piloto de IA? IBM tiene una solución para ayudarle a escalar, sin destruirlo todo

Rob Thomas, vicepresidente senior de software program y director comercial de IBM, subraya el ángulo de «haremos el trabajo duro por usted». «IBM y Purple Hat están brindando a las empresas soluciones certificadas que pueden implementar directamente en los sistemas que ya ejecutan, sin reequipamiento ni interrupciones, respaldadas por una creciente purple de tecnología y socios de entrega», afirmó.

Lightwell también se apoya en gran medida en el modelo «upstream-siempre» de Purple Hat. Según el anuncio, «las correcciones de seguridad se envían activamente a la comunidad de código abierto de origen para su revisión y aceptación», lo que tiene como objetivo garantizar que «las protecciones comerciales y la salud de la comunidad se refuercen continuamente entre sí, evitando la fragmentación del proyecto sin correr el riesgo de días cero en producción».

Eso suena bien, pero IBM y Purple Hat no son los únicos que buscan utilizar la IA para defender el código fuente abierto contra los atacantes impulsados ​​por la IA.

Donde encaja Akrites

Lightwell no existe en el vacío. La Fundación Linux, junto con socios de la industria, lanzó recientemente Akrites defenderá el software crítico de código abierto contra las amenazas habilitadas por la IA. Akrites mitiga los riesgos de la cadena de suministro de software program de código abierto al reforzar los proyectos críticos de código abierto. Para ello, crea un marco común sobre cómo los mantenedores y los consumidores se coordinan ante vulnerabilidades graves.

Si bien Lightwell es un servicio comercial, Akrites es un esfuerzo gobernado por una fundación que se centra en el proceso y la coordinación de los proyectos en sí. Su objetivo es brindar a los mantenedores y usuarios de infraestructura crítica una forma estructurada y confidencial de manejar las fallas descubiertas por la IA, estandarizando la corrección y divulgación de vulnerabilidades en lugar de entregar parches respaldados específicos de la empresa.

También: Purple Hat Desktop vs. Fedora Hummingbird: ¿Qué camino de desarrollo de IA en Linux es el adecuado para usted?

Esas líneas ya se están desdibujando. En el anuncio de Lightwell, el vicepresidente de desarrollo de socios de proveedores de software program independientes (ISV) de Microsoft, Sandy Gupta, señala directamente esa intersección: «La velocidad en la entrega de parches a los clientes es basic. Ya estamos trabajando junto con IBM y Purple Hat como parte del esfuerzo Akrites de la Fundación Linux y ahora ampliamos esa colaboración a Lightwell para garantizar que las correcciones críticas lleguen a los clientes lo más rápido posible utilizando los mecanismos y herramientas de entrega más rápidos».

En la práctica, Akrites apunta a dar forma a cómo los proyectos críticos de código abierto manejan las vulnerabilidades en un mundo acelerado por la IA, mientras que Lightwell ofrece a las empresas una forma de consumir esas correcciones y backports diseñados por IBM/Purple Hat bajo contrato.

Dónde encaja Atenea de Chainguard

La coalición Athena de Chainguard ocupa otro rincón más de esta vertiginosa carrera por la seguridad. Athena es una coalición industrial que protege el software program de código abierto de los ataques de IA. Está diseñado para la period del modelo de frontera, donde los sistemas de inteligencia synthetic pueden encontrar fallas graves más rápido de lo que cualquiera puede solucionarlas.

Al igual que Lightwell, Athena se presenta como una especie de cámara de compensación impulsada por IA, pero en lugar de ser un servicio de un solo proveedor, reúne los hallazgos de vulnerabilidades y el trabajo de remediación de «más de dos docenas de organizaciones», incluidos bancos y principales proveedores de infraestructura, así como desarrolladores.

Athena ya está publicando las primeras métricas. De acuerdo a Guardacadenas«Athena está operativa hoy. Procesó más de 40.000 hallazgos y generó más de 2.000 parches en más de 500 proyectos de código abierto. La coalición utiliza IA para encontrar y corregir vulnerabilidades en software program de código abierto ampliamente utilizado antes de que los atacantes puedan explotarlas». Se centra en bibliotecas, contenedores y otros componentes que sustentan los sistemas críticos.

También: ¿Qué tan soberana digital es su organización? Esta herramienta de Purple Hat puede decírselo en minutos

Como el fundador y director ejecutivo de Chainguard, Dan Lorenc explicado«Athena proporciona un lugar para que las organizaciones encuentren → arreglen → protejan → descubran → revelen vulnerabilidades que los modelos fronterizos de IA están descubriendo. Los hallazgos provienen de toda la coalición. Creamos soluciones bajo embargo. Los socios acumulan protección sin parches a su alrededor. Descubrimos exposiciones que de otra manera permanecerían invisibles. Y luego las soluciones duraderas llegan a los mantenedores upstream que pueden hacerlas permanentes».

En contraste con el énfasis de Lightwell en enviar backports listos para la empresa a los canales de clientes, el flujo de trabajo de Athena comienza con hallazgos de IA agrupados que se «deduplican, clasifican y enriquecen en una cámara de compensación compartida», después de lo cual los miembros de la coalición colaboran en parches y mitigaciones antes de que las vulnerabilidades se hagan públicas.

Cuando aún no hay un parche limpio disponible, «Athena coloca protecciones independientes para que la cobertura se mantenga incluso en ausencia de un parche oportuno, y continúa monitoreando cada falla hasta que se establece una solución ascendente sólida». Luego, esas correcciones deben fluir hacia arriba y hacia los propios artefactos seguros por defecto de Chainguard, incluidas imágenes y paquetes mínimos compatibles con SLSA.

Tres modelos para la defensa de código abierto de la period de la IA

En conjunto, Lightwell, Akrites y Athena esbozan tres respuestas diferentes y cada vez más superpuestas al mismo problema subyacente: herramientas de inteligencia synthetic rápidas y baratas que pueden descubrir y convertir en armas fallas en los bienes comunes de código abierto más rápido de lo que los canales de parches tradicionales pueden seguir el ritmo.

También: IBM cube que puede colocar casi 100 mil millones de transistores en un chip: por qué es importante este hito

Akrites se centra en la gobernanza y los procesos de proyectos críticos, intentando estandarizar cómo los mantenedores y los usuarios clave manejan las vulnerabilidades impulsadas por la IA y los parches embargados. Athena integra la investigación de vulnerabilidades acelerada por IA en una coalición intersectorial que comparte hallazgos, coordina la remediación previa a la divulgación e impulsa correcciones en sentido ascendente, al mismo tiempo que las introduce en artefactos reforzados de la cadena de suministro. Lightwell, por el contrario, está dirigido directamente a empresas que no quieren problemas ni complicaciones, sólo soluciones certificadas que pueden incorporar directamente a los sistemas que ya ejecutan, sin necesidad de reequipamiento ni interrupciones.

En el futuro inmediato, los necesitaremos todos y más. La IA está transformando tanto el software program de código abierto como la seguridad. Hasta que hayamos encontrado un camino a seguir para proteger verdaderamente nuestro código, necesitaremos probar todos estos enfoques y ver cuáles funcionarán mejor para protegernos a nosotros y a nuestros programas.



fonte

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí