- 27,765
- 46
- 8 Ноя 2022
С проектом «Patch the Planet» программисты наконец перестанут отвлекаться на ложные тревоги.
Открытый код давно держит на себе огромную часть цифровой инфраструктуры, но его безопасность часто зависит от людей, у которых не хватает времени на бесконечный поток отчётов об ошибках. OpenAI запускает инициативу «Patch the Planet», чтобы помочь сопровождающим открытых проектов быстрее находить и устранять уязвимости в коде.
В рамках проекта OpenAI объединится с компанией Trail of Bits. Специалисты Trail of Bits будут напрямую работать с командами открытых проектов, проверять подозрительные участки кода и разбирать находки до того, как сведения попадут к сопровождающим. В работе также задействуют инструменты OpenAI, включая Codex Security.
Главная задача инициативы состоит не в том, чтобы завалить разработчиков новыми автоматическими отчётами, а в том, чтобы снять часть нагрузки. Перед передачей информации командам специалисты будут отсеивать слабые или ошибочные срабатывания, помогать готовить исправления и тесты, а также создавать повторно используемые рабочие процессы для дальнейшей проверки кода.
Проблема выходит далеко за пределы отдельных репозиториев. Открытые библиотеки лежат в основе множества коммерческих продуктов, поэтому ошибка в популярном компоненте быстро превращается в риск для тысяч компаний. В источнике как пример приводится история с log4j , когда уязвимость в широко используемой утилите стала крупной проблемой для всей отрасли.
Запуск «Patch the Planet» выглядит как попытка использовать ИИ в защитных целях на фоне растущих опасений вокруг автоматизированного поиска уязвимостей. В материале отдельно упоминается Mythos от Anthropic, вокруг которого обсуждают риск быстрого поиска ошибок в коде и создания эксплойтов. OpenAI предлагает обратный сценарий, где автоматизация помогает не атаковать проекты, а быстрее закрывать слабые места.
Пока неясно, как инициатива будет масштабироваться и сколько проектов сможет охватить. На первом этапе смысл сводится к практической помощи сопровождающим открытого кода: проверять находки до передачи разработчикам, готовить исправления, писать тесты и оставлять командам процессы, которые помогут снижать риск новых уязвимостей после первых изменений.
Открытый код давно держит на себе огромную часть цифровой инфраструктуры, но его безопасность часто зависит от людей, у которых не хватает времени на бесконечный поток отчётов об ошибках. OpenAI запускает инициативу «Patch the Planet», чтобы помочь сопровождающим открытых проектов быстрее находить и устранять уязвимости в коде.
В рамках проекта OpenAI объединится с компанией Trail of Bits. Специалисты Trail of Bits будут напрямую работать с командами открытых проектов, проверять подозрительные участки кода и разбирать находки до того, как сведения попадут к сопровождающим. В работе также задействуют инструменты OpenAI, включая Codex Security.
Главная задача инициативы состоит не в том, чтобы завалить разработчиков новыми автоматическими отчётами, а в том, чтобы снять часть нагрузки. Перед передачей информации командам специалисты будут отсеивать слабые или ошибочные срабатывания, помогать готовить исправления и тесты, а также создавать повторно используемые рабочие процессы для дальнейшей проверки кода.
Проблема выходит далеко за пределы отдельных репозиториев. Открытые библиотеки лежат в основе множества коммерческих продуктов, поэтому ошибка в популярном компоненте быстро превращается в риск для тысяч компаний. В источнике как пример приводится история с log4j , когда уязвимость в широко используемой утилите стала крупной проблемой для всей отрасли.
Запуск «Patch the Planet» выглядит как попытка использовать ИИ в защитных целях на фоне растущих опасений вокруг автоматизированного поиска уязвимостей. В материале отдельно упоминается Mythos от Anthropic, вокруг которого обсуждают риск быстрого поиска ошибок в коде и создания эксплойтов. OpenAI предлагает обратный сценарий, где автоматизация помогает не атаковать проекты, а быстрее закрывать слабые места.
Пока неясно, как инициатива будет масштабироваться и сколько проектов сможет охватить. На первом этапе смысл сводится к практической помощи сопровождающим открытого кода: проверять находки до передачи разработчикам, готовить исправления, писать тесты и оставлять командам процессы, которые помогут снижать риск новых уязвимостей после первых изменений.
- Источник новости
- www.securitylab.ru
