Seis grandes empresas de tecnologia, incluindo Anthropic, AWS, GitHub, Google, Microsoft e OpenAI, forneceram recentemente em conjunto um total de US$ 12,5 milhões em financiamento para projetos relacionados à Linux Foundation, com o objetivo de ajudar os mantenedores de projetos de software livre e de código aberto (FOSS) a lidar com a pressão de relatórios de vulnerabilidade de segurança "cheios de água" gerados por ferramentas de inteligência artificial.
A Linux Foundation destacou no anúncio que à medida que a situação de segurança se torna cada vez mais complexa, a tecnologia de IA está aumentando significativamente a velocidade e a escala da descoberta de vulnerabilidades em software de código aberto. Os mantenedores enfrentam um grande número sem precedentes de feedbacks de problemas de segurança, uma parte considerável dos quais são gerados por sistemas automatizados, mas carecem dos recursos e ferramentas correspondentes para classificá-los, rastreá-los e repará-los de forma eficaz.
Os fundos serão usados para apoiar o projeto Alpha-Omega da Linux Foundation, que se concentra na segurança da cadeia de fornecimento de código aberto, e para promover conjuntamente um novo plano com a Open Source Security Foundation (OpenSSF). Segundo relatos, as duas organizações trabalharão diretamente com os mantenedores de projetos e suas comunidades para tornar as capacidades de segurança emergentes mais acessíveis, mais operáveis e integradas nos fluxos de trabalho de projetos existentes, ao mesmo tempo que explorarão estratégias sustentáveis que não só aliviarão a crescente pressão de segurança sobre os mantenedores, mas também aumentarão a resiliência de todo o ecossistema de código aberto.
Greg Kroah-Hartman, principal mantenedor do projeto do kernel Linux, admitiu em comentários publicados pela fundação que o financiamento por si só não pode resolver todos os problemas que as ferramentas de IA trazem para as equipes de segurança de código aberto, mas também enfatizou que o OpenSSF já possui as ferramentas correspondentes.recurso, os mantenedores que ficam sobrecarregados com relatórios de segurança gerados por IA podem receber suporte por meio de vários projetos, e esses relatórios podem ser classificados e processados com mais eficiência.
No entanto, a Linux Foundation ainda não deu mais detalhes sobre o caminho técnico específico, métodos de implementação e calendário deste novo plano.
Não é um problema novo que os relatórios de vulnerabilidade gerados pela IA ocupem a energia dos mantenedores. Já no final de 2024, a Python Software Foundation queixou-se publicamente de uma situação semelhante. Desde então, os mantenedores da ferramenta de transferência de dados de código aberto amplamente utilizada, cURL, também anunciaram o encerramento do programa de recompensas de bugs do projeto porque não conseguiram lidar com o grande número de envios e comentários gerados por IA.
Até mesmo o GitHub, que é afiliado à Microsoft, começou a considerar seriamente como lidar com o influxo de contribuições geradas por IA e pull requests de qualidade preocupante, e está explorando a criação de algum tipo de mecanismo de “freio de emergência” para evitar que tal ruído afogue o processo normal de colaboração de código aberto.