Anthropic, Amazon Web Services (AWS), GitHub, Google, Google DeepMind, Microsoft et OpenAI ont annoncé un investissement collectif de 12,5 millions de dollars. Ce financement est destiné à la Linux Foundation pour renforcer la sécurité de l’écosystème open source.
L’initiative sera pilotée par les projets Alpha-Omega et l’Open Source Security Foundation (OpenSSF), deux entités spécialisées dans la sécurisation des logiciels open source.
Pourquoi cet investissement est-il devenu une urgence ?
L’essor de l’IA a une double facette. Il accélère la détection de vulnérabilités et engendre aussi un déluge sans précédent de découvertes de sécurité, souvent de faible qualité.
Les mainteneurs de projets, qui peuvent être des bénévoles ou de petites équipes, se retrouvent submergés par ces rapports générés automatiquement, sans avoir les ressources nécessaires pour les trier et les corriger efficacement.
Cette situation a des conséquences concrètes, comme l’a montré le projet cURL qui a dû mettre fin à son programme de bug bounty.
Développeur du noyau Linux, Greg Kroah-Hartman souligne que » le financement par subvention à lui seul ne résoudra pas le problème« , mais il insiste sur le fait que l’OpenSSF dispose des » ressources actives nécessaires pour aider les mainteneurs surchargés « .
Quelles solutions seront mises en place ?
Les fonds permettront à Alpha-Omega et à l’OpenSSF de travailler directement avec les communautés pour rendre les capacités de sécurité émergentes accessibles, pratiques et alignées sur les workflows existants des projets. L’idée est de fournir des outils et une expertise pour aider au triage et à la remédiation des failles.
L’ironie est que la solution pourrait venir de la même technologie qui a créé le problème. Google a déjà démontré le potentiel de ses outils internes comme Big Sleep et CodeMender, capables de trouver et corriger de manière autonome des vulnérabilités.
Mark Ryland d’AWS estime que » les mêmes modèles avancés qui créent ces défis peuvent aussi les résoudre grâce à de meilleurs outils et à l’automatisation « , en insistant sur une collaboration avec la communauté de la sécurité open source.