Anthropic, AWS, GitHub, Google, Microsoft 및 OpenAI를 포함한 6개의 대형 기술 회사는 최근 Linux Foundation과 관련된 프로젝트에 총 1,250만 달러의 자금을 공동으로 제공했습니다. 이는 무료 및 오픈 소스 소프트웨어(FOSS) 프로젝트 관리자가 인공 지능 도구로 생성된 "물이 가득 찬" 보안 취약성 보고서의 압력에 대처할 수 있도록 돕는 것을 목표로 합니다.
리눅스재단은 발표에서 보안 상황이 점점 복잡해지면서 AI 기술이 오픈소스 소프트웨어의 취약점 발견 속도와 규모를 크게 높이고 있다고 지적했다. 유지관리자는 전례 없이 많은 수의 보안 문제 피드백에 직면해 있으며, 그 중 상당 부분은 자동화된 시스템에 의해 생성되지만 효과적으로 분류, 선별 및 복구할 수 있는 해당 리소스와 도구가 부족합니다.
해당 자금은 오픈소스 공급망 보안에 초점을 맞춘 리눅스재단의 알파-오메가 프로젝트를 지원하고, 오픈소스보안재단(OpenSSF)과 함께 새로운 계획을 공동 추진하는 데 사용될 예정이다. 보고서에 따르면 두 조직은 프로젝트 유지관리자 및 해당 커뮤니티와 직접 협력하여 새로운 보안 기능의 접근성과 운영성을 높이고 기존 프로젝트 워크플로우에 통합하는 동시에 유지관리자에 대한 증가하는 보안 압력을 완화할 뿐만 아니라 전체 오픈 소스 생태계의 탄력성을 향상시키는 지속 가능한 전략을 모색할 것입니다.
Linux 커널 프로젝트의 핵심 관리자인 Greg Kroah-Hartman은 재단이 게시한 논평에서 AI 도구가 오픈 소스 보안 팀에 가져오는 모든 문제를 자금 조달만으로는 해결할 수 없다는 점을 인정하면서도 OpenSSF에는 이미 해당 도구가 있다는 점을 강조했습니다.의지, AI가 생성한 보안 보고서에 압도된 관리자는 여러 프로젝트를 통해 지원될 수 있으며, 이러한 보고서는 보다 효율적으로 분류되고 처리될 수 있습니다.
그러나 Linux Foundation은 이 새로운 계획의 구체적인 기술 경로, 구현 방법 및 시간표에 대한 자세한 내용을 아직 제공하지 않았습니다.
AI가 생성한 취약점 보고서가 관리자의 에너지를 차지하는 것은 새로운 문제가 아닙니다. 이르면 2024년 말, 파이썬 소프트웨어 재단(Python Software Foundation)도 비슷한 상황에 대해 공개적으로 불만을 토로했다. 이후 널리 사용되는 오픈 소스 데이터 전송 도구인 cURL의 관리자들은 AI가 생성한 대량의 제출 및 피드백에 대처할 수 없어 프로젝트의 버그 바운티 프로그램 종료를 발표했습니다.
마이크로소프트와 제휴한 깃허브(GitHub)조차 AI가 생성한 기여와 품질이 걱정스러운 끌어오기 요청의 유입을 처리하는 방법을 진지하게 고려하기 시작했으며, 이러한 소음이 일반적인 오픈 소스 협업 프로세스를 익사시키는 것을 방지하기 위해 일종의 "긴급 브레이크" 메커니즘 설정을 모색하고 있습니다.