Seis grandes empresas de tecnología, incluidas Anthropic, AWS, GitHub, Google, Microsoft y OpenAI, recientemente proporcionaron conjuntamente un total de 12,5 millones de dólares en financiación para proyectos relacionados con la Fundación Linux, con el objetivo de ayudar a los mantenedores de proyectos de software libre y de código abierto (FOSS) a hacer frente a la presión de los informes de vulnerabilidad de seguridad "llenos de agua" generados por herramientas de inteligencia artificial.
La Fundación Linux señaló en el anuncio que a medida que la situación de seguridad se vuelve cada vez más compleja, la tecnología de inteligencia artificial está aumentando significativamente la velocidad y la escala del descubrimiento de vulnerabilidades en el software de código abierto. Los mantenedores se enfrentan a una gran cantidad sin precedentes de comentarios sobre problemas de seguridad, una parte considerable de los cuales son generados por sistemas automatizados, pero carecen de los recursos y herramientas correspondientes para clasificarlos, detectarlos y repararlos de manera efectiva.
Los fondos se utilizarán para apoyar el proyecto Alpha-Omega de la Fundación Linux, que se centra en la seguridad de la cadena de suministro de código abierto, y para promover conjuntamente un nuevo plan con la Fundación de Seguridad de Código Abierto (OpenSSF). Según los informes, las dos organizaciones trabajarán directamente con los mantenedores de proyectos y sus comunidades para hacer que las capacidades de seguridad emergentes sean más accesibles, más operables e integradas en los flujos de trabajo de proyectos existentes, mientras exploran estrategias sostenibles que no solo aliviarán la creciente presión de seguridad sobre los mantenedores, sino que también mejorarán la resiliencia de todo el ecosistema de código abierto.
Greg Kroah-Hartman, mantenedor principal del proyecto del kernel de Linux, admitió en comentarios publicados por la fundación que la financiación por sí sola no puede resolver todos los problemas que las herramientas de IA traen a los equipos de seguridad de código abierto, pero también enfatizó que OpenSSF ya tiene las herramientas correspondientes.recurso, los mantenedores que se sienten abrumados por los informes de seguridad generados por IA pueden recibir soporte a través de múltiples proyectos, y dichos informes se pueden clasificar y procesar de manera más eficiente.
Sin embargo, la Fundación Linux aún no ha proporcionado más detalles sobre la ruta técnica específica, los métodos de implementación y el cronograma de este nuevo plan.
No es un problema nuevo que los informes de vulnerabilidad generados por IA ocupen la energía de los mantenedores. Ya a finales de 2024, la Python Software Foundation se quejó públicamente de una situación similar. Desde entonces, los mantenedores de la ampliamente utilizada herramienta de transferencia de datos de código abierto cURL también anunciaron la terminación del programa de recompensas por errores del proyecto porque no pudieron hacer frente a la gran cantidad de envíos y comentarios generados por IA.
Incluso GitHub, que está afiliado a Microsoft, ha comenzado a considerar seriamente cómo lidiar con la afluencia de contribuciones generadas por IA y solicitudes de extracción de calidad preocupante, y está explorando la posibilidad de establecer algún tipo de mecanismo de "freno de emergencia" para evitar que ese ruido ahogue el proceso normal de colaboración de código abierto.