차이구ард의 새 아테나 연대, AI로 오픈소스 취약점 사전 수정

출처: ZDNet

Chainguard / ZDNET*ZDNET와 팔로우: [우리도 선호하는 소스로 추가하기](https://cc.zdnet.com/v1/otc/00hQi47eqnEWQ6T9d4QLBUc?element=BODY&element_label=Add+us+as+a+preferred+source&module=LINK&object_type=text-link&object_uuid=f272bbf2- a980-4918-a62b-ee9b80626be1&position=1&template=article&track_… ) Google에서.

ZDNET의 주요 요약

• Chainguard와 파트너들은 AI를 사용해 오픈소스 코드를 해커에게서 방어합니다.
• Athena는 오픈소스 사용자, 개발자, 유지관리자의 자원을 활용합니다.
• Chainguard만이 오픈소스 코드를 AI로 보호하려는 것은 아닙니다.

IT 분야의 모든 사람이 알고 있거나 알아야 할 만큼, [AI는 오픈소스 코드 보안을 해킹하는 새로운 전선을 열었다](https://devops.com/ can-chainguard-save-open-source-software-from-mythos-can-anyone/). 해킹은 이전에 실질적인 기술이 필요했지만, 이제는 충분히 발전된 AI 모델을 가진 누구나 프로그램을 열어놓고 AI 맞춤형 악성코드로 감염시킬 수 있습니다.

소프트웨어 회사 Chainguard, 이 회사는 제로-CVE 컨테이너 이미지와 보안 강화 오픈소스 코드에 특화되어 있으며, Athena를 통해 해커들을 앞서 잡기 위해 다른 기업들과 협력하고 있습니다.

Chainguard는 이렇게 말합니다: “취약점이 발견되고 악용되는 사이의 간격이 [수년에서 시간으로 단축되었다](https://www.prnewswire.com/ news-releases/chainguard-launches-athena-the-industry-coalition-to-fix-open-source-vulnerabilities-before-attackers-can-find-them-302799984. html), 그리고 exploit의 비중이 증가하고 있으며, 버그가 공개되기 전부터 이미 무기화되고 있습니다.”

협조적 공표는 취약점 발견에 수주가 걸치고 타깃이 제한적이던 세계를 위해 설계되었습니다. 그 세상은 사라졌습니다. Chainguard가 맞다. 그렇습니다.

Also: AI 에이전트를 서두르지만 착각한 인간 인턴처럼 대우하십시오 - 제어 상실을 방지하려면

무언가 해야 할 일이었다. 회사의 CEO이자 공동 창업자인 Dan Lorenc은 LinkedIn에 썼으며, 우리는 오픈소스 보안이 12개의 서로 맞지 않는 패치 세트로 분열되는 것을 허용하거나, 어려운 조율된 방법을 선택하는 사이에 있었다고 인정했다.我说它只有 함께 구축할 때만 작동할 수 있다고 말했고, 실제로 우리가 할 수 있을지 몰랐다고 인정했다.

다음은 업데이트다: 업계가 나타났다. 그것은 Athena라고 불리며, 이미 실시간으로 작동 중이다.

Anthony Grieco, Cisco의 SVP 겸 최고 보안 및 신뢰 책임자는 동의한다. “수십 년간 Cisco는 오픈소스 생태계를 보호해 왔다. 이 작업은 이제 전형적인 조율된 공표가 설계된 범위를 넘어선 속도로 위협이 발견되는 주기로 새로운 긴급성을 맞이하고 있다. Chainguard의 Athena 연대는 중요한 발전을 의미한다. 이는 이러한 위협에 대응하는 속도로 오픈소스 취약점 정보와 방어를 조정하는 것이다.”

Chainguard, AI를 방어막으로 활용한다

Athena는 두 가지 부분으로 구성된다. 첫 번째는 20개 이상의 기업이 협력해 최신 AI 모델을 활용해 널리 사용되는 오픈소스 소프트웨어의 결함을 탐색하고 수정하는 연대이다. 이들의 지원자는 JPMorgan Chase, Cisco, Cloudflare, Docker, Kyndryl, PwC와 같은 금융 및 엔터프라이즈 인프라 회사들의 두각 있는 멤버들이다.

Also: AI 시대에 기업이 절대 해서는 안 되는 5가지 보안 전술 - 그리고 왜 중요한가

이 회사들은 이미 소프트웨어 공급망 리스크에 대한 엄격한 규정 및 고객 압력에 직면해 있다. 연대는 데이터를 모으고, AI 역량을 활용하며, 스택을 가로지르는 취약점에 대한 수리 작업을 공동으로 수행할 수 있는 방법을 제공한다. 목표는 개별 프로젝트별 단일 수정에서 벗어나, AI가 식별한 중요한 오픈소스 소프트웨어 결함을 발견하고 해결하여 공격자 플레이북에 나타나기 전에 조율된 모델로 전환하는 것이다.

해커들보다 먼저 결함을 찾고 수정한다

기술적으로 Athena의 핵심 약속은 속도이다. 이 프로그램은 AI 시스템이 대량의 오픈소스 코드와 의존성 그래프를 검토하여 잠재적 약점을 표시하고, 이를 상류에서 검증 및 수정하도록 한다.

Also: AI 공격 속도의 새로운 가속에 대비해 네트워크를 강화하는 5가지 방법

하지만 때때로 패치가 우리 기대나 필요에 맞는 속도로 제공되지 않을 수도 있다. 이 문제를 해결하기 위해 Chainguard는 다음과 같이 설명한다: “Athena는 패치가 아직 존재하지 않더라도 커버age가 존재하도록 독립적인 보호 레이어를 쌓아 두고, 내구성 있는 상류 수정까지 각 결함을 지속적으로 보호한다.”

• 발견 – 연대 전체에서 검증된 결과가 모이며, Anthropic의 Project Glasswing과 OpenAI의 Daybreak과 같은 최전선 연구 프로그램도 포함된다. Athena는 모든 최전선 모델이 생성한 결과를 수용한다.
• 선공개(embargo) 이전 수리 – Chainguard Libraries를 통해 구성원에게 공개되기 전에 개인 포크와 재구성된 강화 버전이 제공된다. 결과는 전체 라이브러리에 걸쳐 배치되어 단일 버그가 아닌 여러 문제 클래스에 대한 방어력을 확보한다. 모델이 먼저 결함을 발견하더라도, 보다 강력한 모델이 도착해도 조용히 유지된다.
• 지속적 조율 – embargo 기간 동안 모든 결과가 상류 활동과 비교되어 독립적인 발견을 포착하고 프로젝트가 진행함에 따라 수정이 최신 상태로 유지된다.
• 플랫폼, 네트워크 및 인프라 완화 – 인프라, 플랫폼, 네트워크, 보안 계층을 운영하는 파트너들은 공개 이전에 비패치 완화 조치를 제공한다. 탐지 서명, 트래픽 수준 규칙, 플랫폼 차단과 같은 기능은 소프트웨어가 전혀 수정되지 않은 채 기계 속도로 결함을 무력화한다.
• 탐지 및 벤더 완화 – 사이버 보안 파트너들은 자체 탐지, 서명, 가상 패치를 추가하여 독립적인 또 다른 레이어를 제공한다.
• 상류 공표 및 하드 포크 – 연대는 조율된 상류 공표를 주도한다. Chainguard는 리눅스 재단과 협력해 오픈소스용 보안 사고 대응 팀(CSIRT)과 마지막 수단의 유지관리 프로그램도 공동으로 구축하고자 한다.

Also: Linus Torvalds가 AI 주장을 화나게 만드는 이유와 보안 연구자들이 절대 해서는 안 되는 일

Chainguard는 이 이니셔티브을 자체 보안-기본 제품 라인과 직접 연결한다. 이는 SLSA 수준 3 인증 빌드, 소프트웨어 재료 목록과 서명된 아티팩트, 최소 이미지, 그리고 취약점 수를 제로에 가깝게 유지하는 일일 소스 기반 재구성을 포함한다. Athena의 결과를 이 공장에 공급함으로써 회사는 하드ened 컨테이너, 라이브러리, 가상 머신(VM), 오픈소스 패키지를 빠르게 배포할 수 있다고 말한다. 동시에 고객에게 FedRAMP, HIPAA, EU 사이버 레지ilience Act 및 NIS2 등 규정 체계에 대한 명확한 provenance 트레일을 제공한다.

오픈소스 AI 보안 경연의 새로운 전선

Chainguard와 그 파트너들은 단순히 … 시도하고 있다.