
ZDNET을 팔로우하세요: 우리를 선호 소스로 추가하세요 Google에서.
ZDNET의 주요 시사점
- Lightwell은 이제 오픈소스 AI 방어를 위한 서비스입니다.
- Akrites와 Athena도 비슷한 접근 방식을 취하고 있습니다.
- AI 기반 공격에는 AI 기반 방어자가 필요합니다.
소프트웨어 개발자에게 AI는 축복이자 저주입니다. 한편으로 AI를 통해 개발자는 그 어느 때보다 빠르게 프로그램을 구축할 수 있습니다. 반면, AI를 사용하면 해커가 보안 허점을 더욱 빠르게 찾아 악용할 수 있습니다.
이를 해결하기 위해 IBM과 Red Hat은 Project Lightwell을 출시했습니다.
50억 달러 규모의 AI 기반 이니셔티브를 지원하는 Lightwell의 임무는 산업 규모로 오픈 소스 소프트웨어의 취약점을 찾아 수정하는 것입니다. 이제는 프로젝트에서 Lightwell Network 및 Lightwell Clearinghouse Premier 제품으로 이동했습니다.
또한: 오픈 소스 보안은 엉망입니다. IBM과 Red Hat은 50억 달러를 걸고 20,000명의 엔지니어가 문제를 해결할 수 있습니다.
Lightwell Network는 일반적으로 사용 가능하지만 Lightwell Clearinghouse Premier는 제한된 가용성 온보딩 단계에 진입하고 있습니다. 양사에 따르면 “Lightwell은 이제 입증된 기업 보호 기능을 조직의 전체 소프트웨어 포트폴리오로 확장합니다.” 두 서비스 모두 Red Hat 및 IBM 제품에 포함된 구성 요소뿐만 아니라 기업을 위한 오픈 소스 구성 요소를 보호하는 방법을 제공합니다.
강력한 오픈소스 보안
두 회사는 이것이 AI와 20,000명의 엔지니어가 지원하는 강력한 오픈 소스 메가 프로젝트만큼 새로운 접근 방식이 아니라고 강조합니다. 이는 “Red Hat이 수천 명의 고객을 위해 세계에서 가장 중요한 시스템을 확보한 수십 년간의 신뢰를 바탕으로 구축된 모델”이며 소프트웨어 스택의 훨씬 더 넓은 부분을 포괄하도록 확장합니다.
이 제품의 핵심은 두 사람이 “이미 실시간으로 대규모로 운영되고 있는 생성적 AI 기반 교정 엔진의 높은 처리량 기능”이라고 설명하는 것입니다. 이 자동화 파이프라인은 “최첨단 AI 모델과 인간 공학 전문 지식을 결합하여 현대 소프트웨어 아키텍처에 깊숙이 내장된 중요한 종속성의 취약점을 식별, 검증 및 해결합니다.”
또한: IBM은 칩 하나에 거의 1000억 개의 트랜지스터를 탑재할 수 있다고 밝혔습니다. 이 이정표가 중요한 이유
Lightwell은 고객이 지속적으로 업스트림 릴리스를 추구하도록 요구하는 대신 “자동화를 사용하여 중요한 수정 사항을 정확하고 수명이 긴 프로덕션 소프트웨어 버전으로 직접 백포트함으로써 팀이 대규모 업스트림 업그레이드를 채택하도록 강요하는 경우가 종종 있는 긴 회귀 테스트 및 주요 변경 사항을 해결하는 데 도움을 줍니다.”
첫 번째 신제품인 Lightwell Network는 “고가치 교정 기능을 갖춘 최신 라이브러리부터 레거시 라이브러리에 이르기까지 활발하게 성장하고 있는 콘텐츠 라이브러리에 대한 즉각적인 액세스”를 제공합니다. 회원은 “코드 드리프트 없이 기존 파이프라인에 직접 전달되는 완전한 소프트웨어 자재 명세서(SBOM)를 포함하여 디지털 서명된 바이너리, 소스 코드 및 포괄적인 규정 준수 아티팩트의 지속적인 스트림”을 받습니다.
두 번째인 Lightwell Clearinghouse Premier는 “심층적인 산업 협력, 고급 수직적 위협 조정 및 안전한 패치 금수조치를 위한 신뢰할 수 있는 중개자 역할을 하도록 설계되었습니다.”
처음에는 Lightwell Clearinghouse Premier가 금융 서비스로 제한됩니다. 참여 조직은 취약점을 제출하고 “보안된 엠바고 기간에 따른 대상 버전 수정”을 요청할 수 있습니다. 성공하면 정부, 헬스케어, 통신 분야로 확대될 예정이다.
Lightwell이 패치 방정식을 변경하는 방법
IBM과 Red Hat은 저렴한 AI 기반 활용 시대에 손상된 수정 모델로 설명하는 것이 대상임을 명시합니다. 그들은 오픈 소스의 “엔터프라이즈 소프트웨어 실행”을 통해 “대량의 볼륨과 50달러의 AI 생성 익스플로잇이 전통적인 패치 관리를 무너뜨렸습니다.”라고 주장합니다. 공급업체에 따르면 Lightwell은 애플리케이션 컨텍스트와 종속성 상호 작용을 평가하여 검증된 수정 사항을 활성 워크플로에 직접 제공함으로써 매핑되지 않은 위험을 완화하고 실행 병목 현상을 중화하도록 설계되었습니다.
Red Hat의 사장 겸 CEO인 Matt Hicks는 “Lightwell은 모든 엔터프라이즈 소프트웨어를 보호하는 방법에 대한 근본적인 구조적 변화를 나타냅니다. 자동화된 문제 해결과 Red Hat의 심층적인 엔지니어링 유산을 결합함으로써 우리는 오픈 소스를 안정적이고 지속 가능하며 최첨단 모델 속도로 사용하는 데 필요한 신뢰할 수 있는 인프라를 제공하는 것을 목표로 합니다.”
또한: AI 파일럿 모드에 갇혀 있나요? IBM은 모든 것을 전면 중단하지 않고도 확장할 수 있도록 지원하는 솔루션을 보유하고 있습니다.
IBM의 소프트웨어 부문 수석 부사장이자 최고 상업 책임자(CCO)인 Rob Thomas는 “우리가 여러분을 위해 열심히 일하겠습니다”라는 입장을 강조합니다. “IBM과 Red Hat은 점점 늘어나는 기술 네트워크와 제공 파트너의 지원을 받아 재조정이나 중단 없이 기업이 이미 실행 중인 시스템에 직접 가져올 수 있는 인증된 수정 사항을 제공하고 있습니다.”라고 그는 말했습니다.
Lightwell은 또한 Red Hat의 “항상 업스트림” 모델에 크게 의존하고 있습니다. 발표에 따르면 “보안 수정 사항은 검토 및 승인을 위해 원래 오픈 소스 커뮤니티에 적극적으로 다시 제출됩니다.” 이는 “상업적 보호와 커뮤니티 상태가 지속적으로 서로 강화되어 프로덕션 제로 데이 위험 없이 프로젝트 조각화를 방지”하도록 보장하기 위한 것입니다.
듣기에는 좋지만 AI 기반 공격자로부터 오픈 소스 코드를 보호하기 위해 AI를 사용하려는 회사는 IBM과 Red Hat만이 아닙니다.
Akrites가 적합한 곳
Lightwell은 진공 상태로 존재하지 않습니다. Linux Foundation은 업계 파트너와 함께 최근 AI 지원 위협으로부터 중요한 오픈 소스 소프트웨어를 보호하기 위해 Akrites를 출시했습니다. Akrites는 중요한 오픈 소스 프로젝트를 강화하여 오픈 소스 소프트웨어 공급망 위험을 완화합니다. 이는 관리자와 소비자가 심각한 취약점에 대해 조정하는 방법에 대한 공통 프레임워크를 만들어 이를 수행합니다.
Lightwell은 상용 서비스인 반면 Akrites는 프로젝트 자체의 프로세스와 조정에 초점을 맞춘 재단 관리 노력입니다. 그 목표는 유지 관리 담당자와 중요 인프라 사용자에게 AI가 발견한 결함을 처리할 수 있는 기밀하고 구조화된 방법을 제공하고 기업별 백포트 패치를 제공하는 대신 취약성 교정 및 공개를 표준화하는 것입니다.
또한: Red Hat Desktop과 Fedora Hummingbird: 귀하에게 적합한 AI 개발 Linux 경로는 무엇입니까?
그 경계는 이미 흐려지고 있습니다. Lightwell 발표에서 Microsoft의 독립 소프트웨어 공급업체(ISV) 파트너 개발 부사장인 Sandy Gupta는 이러한 교차점을 직접적으로 지적합니다. “고객에게 패치를 제공하는 속도는 매우 중요합니다. 우리는 이미 Linux Foundation의 Akrites 노력의 일환으로 IBM 및 Red Hat과 협력하고 있으며 이제 이러한 협력을 Lightwell로 확장하여 가장 빠른 제공 메커니즘과 도구를 사용하여 중요한 수정 사항이 고객에게 최대한 빨리 도달할 수 있도록 보장합니다.”
실제로 Akrites는 중요한 오픈 소스 프로젝트가 AI 가속 세계에서 취약성을 처리하는 방법을 형성하는 것을 목표로 하고 있으며 Lightwell은 계약에 따라 이러한 수정 사항과 IBM/Red Hat이 엔지니어링한 백포트를 기업에 사용할 수 있는 방법을 제공합니다.
Chainguard의 Athena가 적합한 곳
Chainguard의 Athena 연합은 빠르게 변화하는 보안 경쟁의 또 다른 코너를 차지하고 있습니다. Athena는 AI 공격으로부터 오픈 소스 소프트웨어를 보호하는 업계 연합입니다. 이는 AI 시스템이 다른 사람이 패치할 수 있는 것보다 더 빠르게 심각한 결함을 찾아낼 수 있는 프론티어 모델 시대를 위해 제작되었습니다.
Lightwell과 마찬가지로 Athena는 일종의 AI 기반 정보 센터로 구성되어 있지만 단일 공급업체의 서비스 대신 은행, 주요 인프라 제공업체, 개발자를 포함한 “20개가 넘는 조직”의 취약점 발견 및 해결 작업을 통합합니다.
Athena는 이미 초기 지표를 게시하고 있습니다. Chainguard에 따르면, “Athena는 현재 운영 중입니다. 500개 이상의 오픈 소스 프로젝트에서 40,000개 이상의 조사 결과를 처리하고 2,000개 이상의 패치를 생성했습니다. 연합은 AI를 사용하여 공격자가 이를 악용하기 전에 널리 사용되는 오픈 소스 소프트웨어의 취약점을 찾아 수정합니다.” 중요한 시스템을 뒷받침하는 라이브러리, 컨테이너 및 기타 구성 요소에 중점을 둡니다.
또한: 귀하의 조직은 디지털 주권을 얼마나 갖추고 있나요? 이 Red Hat 도구는 몇 분 안에 알려드립니다.
Chainguard 설립자 겸 CEO인 Dan Lorenc은 다음과 같이 설명했습니다. “Athena는 조직이 개척 AI 모델이 발견한 취약점을 찾고 → 수정 → 보호 → 표면 → 공개할 수 있는 장소를 제공합니다. 결과는 연합 전체에서 나옵니다. 우리는 금수 조치에 따라 수정 사항을 구축합니다. 파트너는 비 패치 보호 기능을 주변에 쌓습니다. 우리는 그렇지 않으면 눈에 띄지 않을 노출을 표면으로 표시합니다. 그런 다음 내구성 있는 수정 사항을 업스트림 유지 관리 담당자에게 전달하여 이를 영구적으로 만들 수 있습니다.”
Lightwell이 기업용 백포트를 고객 파이프라인으로 전달하는 것을 강조하는 것과는 달리 Athena의 워크플로는 “공유 정보 센터에서 중복 제거, 분류 및 강화”되는 풀링된 AI 결과로 시작되며, 그 후 연합 구성원은 취약점이 공개되기 전에 패치 및 완화 작업에 협력합니다.
깨끗한 패치를 아직 사용할 수 없는 경우 “Athena는 적시에 패치가 없더라도 적용 범위가 유지되도록 독립적인 보호 기능을 계층화하고 강력한 업스트림 솔루션이 구축될 때까지 모든 결함을 계속 모니터링합니다.” 그런 다음 이러한 수정 사항은 최소한의 SLSA 호환 이미지 및 패키지를 포함하여 업스트림과 Chainguard의 기본 보안 아티팩트에 전달됩니다.
AI 시대 오픈소스 방어를 위한 세 가지 모델
Lightwell, Akrites 및 Athena는 함께 동일한 기본 문제에 대해 서로 다르고 점점 더 중복되는 세 가지 대응 방법을 제시합니다. 즉, 기존 패치 파이프라인이 따라잡을 수 있는 것보다 더 빠르게 오픈 소스 공유의 결함을 발견하고 무기화할 수 있는 저렴하고 빠른 AI 도구입니다.
또한: IBM은 칩 하나에 거의 1000억 개의 트랜지스터를 탑재할 수 있다고 밝혔습니다. 이 이정표가 중요한 이유
Akrites는 중요 프로젝트의 거버넌스 및 프로세스에 중점을 두고 유지 관리 담당자와 주요 사용자가 AI 기반 취약성과 금지된 패치를 처리하는 방법을 표준화하려고 노력합니다. Athena는 발견 사항을 공유하고, 사전 공개 수정을 조정하고, 수정 사항을 업스트림으로 푸시하는 동시에 강화된 공급망 아티팩트에 공급하는 산업 간 연합으로 AI 가속화 취약성 연구를 마무리합니다. 이와 대조적으로 Lightwell은 소란이나 소란을 원하지 않고, 재정비나 중단 없이 이미 실행 중인 시스템에 바로 가져올 수 있는 인증된 수정 사항만 원하는 기업을 겨냥합니다.
가까운 장래에 우리는 이들 모두와 그 외에도 더 많은 것이 필요할 것입니다. AI는 오픈소스 소프트웨어와 보안 모두를 변화시키고 있습니다. 코드를 진정으로 보호하기 위한 방법을 찾을 때까지 이러한 모든 접근 방식을 시도하고 어떤 접근 방식이 우리와 프로그램을 보호하는 데 가장 효과적인지 확인해야 합니다.
공식 정보 바로가기