(C) unter Verwendung eines Motivs von Andrei Suslov / 123RF.com
Im Rahmen einer Cybersicherheitskampagne “Daybreak” will OpenAI zusammen mit der New Yorker Cybersicherheitsfirma Trail of Bits Open-Source-Maintainern helfen, in ihrer Software Schwachstellen auszumachen und zu patchen.
KI beschleunigt zwar die Erkennung von Sicherheitslücken, doch die Erkennung allein schützt die Nutzer nicht. Viele Projektbetreuer stehen bereits vor der Herausforderung, mehr Meldungen schneller bearbeiten zu müssen – und das in begrenzter Zeit und mit begrenzten Ressourcen. “Patch the Planet” wurde entwickelt, um diese Belastung zu verringern: Sicherheitsingenieure prüfen die Ergebnisse, bevor sie an die Projektbetreuer weitergeleitet werden, arbeiten mit den Projekten zusammen, um Patches und Tests zu entwickeln, und erstellen wiederverwendbare Arbeitsabläufe, die den Teams helfen, die Sicherheit auch nach der Veröffentlichung der ersten Korrekturen weiter zu verbessern.
Trail of Bits hat seine gesamte Sicherheitsforschungsabteilung für diese erste intensive Phase eingesetzt. Das Team arbeitet direkt mit den Projektbetreuern zusammen, um Schwachstellen zu untersuchen und zu validieren, Patches zu entwickeln und zu testen sowie die Offenlegung von Schwachstellen zu koordinieren. Darüber hinaus arbeitet OpenAI mit HackerOne und Calif zusammen, die ebenfalls dabei unterstützen, Schwachstellen einzustufen, die Offenlegung zu koordinieren und zusätzliche gezielte Maßnahmen weiter voranzutreiben.
Jeder Einsatz im Rahmen von “Patch the Planet” beginnt mit einer Abstimmung mit dem jeweiligen Maintainer, um die Anforderungen und Präferenzen des Projekts zu verstehen und zu ermitteln, wo zusätzliche Sicherheitsmaßnahmen den größten Nutzen bringen würden – sei es bei der Validierung von Schwachstellen, der Entwicklung von Patches, der Optimierung von CI/CD-Prozessen oder bei langfristigen Sicherheitsmaßnahmen.
Zu den ersten Teilnehmern zählen cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, das Go-Projekt, freenginx, Python und python.org. Diese Projekte decken weit verbreitete Bereiche wie Netzwerke, Kryptografie, Software-Lieferkette und Sprachinfrastruktur ab, in denen eine höhere Sicherheit einer Vielzahl von nachgelagerten Produkten und Diensten zugutekommen kann. In zukünftigen Runden werden weitere Projekte hinzukommen.
