Programu huria ni ya kawaida katika ulimwengu wa teknolojia, na zana kama vile uchanganuzi wa utungaji wa programu zinaweza kutambua utegemezi na kuzilinda. Walakini, kufanya kazi na chanzo huria huleta changamoto za usalama ikilinganishwa na programu inayomilikiwa. Chris Hughes, mshauri mkuu wa usalama katika uanzishaji wa programu huria ya Endor Labs, alizungumza na TechRepublic kuhusu hali ya usalama wa programu huria leo na mahali ambapo inaweza kwenda mwaka ujao. “Mashirika yanaanza kujaribu kupata baadhi ya mambo ya msingi kama vile utawala ili kuelewa kile tunachotumia katika suala la chanzo huria,” Hughes alisema. “Inakaa wapi katika biashara yetu? Ni maombi gani yanaendesha?” Mitindo ya usalama ya chanzo huria ya 2025 Kwa kazi yake, Hughes alifafanua chanzo huria kama programu ambayo msimbo wa chanzo unapatikana bila malipo na inaweza kutumika kuunda miradi mingine, ikiwezekana kwa vizuizi fulani. Mwaka jana, Shule ya Biashara ya Harvard iligundua mashirika yangehitaji kuwekeza $8.8 trilioni katika teknolojia na muda wa kazi ili kuunda upya programu inayotumiwa katika biashara ikiwa programu huria haipatikani. “Makadirio ni 70-90% ya programu zote zina chanzo wazi, na takriban 90% ya misingi hiyo ya nambari imeundwa na chanzo wazi,” Hughes alisema. Kwa 2025, Hughes anatabiri: Kupitishwa kwa programu huria kutaambatana na mashambulizi ya hali ya juu dhidi ya OSS na watendaji hasidi. Mashirika yataendelea kuweka utawala wa msingi wa OSS. Kampuni zaidi zitatumia zana huria na za kibiashara ili kuzisaidia kuanza kuelewa matumizi yao ya OSS. Mashirika yatatumia matumizi yenye taarifa za hatari ya OSS. Biashara zitaendelea kushinikiza uwazi wa wauzaji kuhusu OSS wanayotumia katika bidhaa zao. Hata hivyo, hakuna mamlaka yaliyoenea yatatokea kwa mchakato huu. AI itaendelea kuathiri usalama wa programu na chanzo huria kwa njia mbalimbali, ikiwa ni pamoja na mashirika yanayotumia AI kuchanganua msimbo na kurekebisha masuala. Wavamizi watalenga maktaba, miradi, miundo ya OSS AI zinazotumiwa sana na zaidi ili kuzindua mashambulizi ya msururu wa ugavi kwenye jumuiya ya OSS AI na wachuuzi wa kibiashara. Utawala wa kanuni za AI, ambapo mashirika yana mwonekano zaidi katika miundo ya AI, itakuwa ya kawaida zaidi. Mashirika yanazidi kutaka kujua jinsi programu yao ya programu huria ilivyo salama, ikijumuisha “jinsi inavyotunzwa vizuri, ni nani anayeitunza na jinsi gani wanashughulikia kwa haraka udhaifu unapotokea,” Hughes alisema. Aliangazia shambulio hilo mnamo Aprili 2024 ambapo safu ya majaribio ya uhandisi wa kijamii yalitishia huduma za chanzo-wazi, haswa kufungua mlango wa nyuma katika matumizi ya XZ Utils. “Hiyo ilikuwa mbaya sana kwa sababu mfumo wa chanzo huria kwa kiasi kikubwa unadumishwa na watu wanaojitolea ambao hawajalipwa, watu wanaofanya hivi kwa wakati wao wa bure … na mara nyingi hawalipwi, bila kulipwa, nk,” Hughes alisema. “Kwa hivyo, kuchukua fursa hiyo na kudhulumu hilo lilikuwa jambo baya sana ambalo lilivutia watu wengi.” Chanzo huria: Chanjo ya lazima-usome Je, AI inabadilishaje usalama wa chanzo huria? Mnamo Oktoba 2024, Mpango wa Open Source ulianzisha ufafanuzi wa AI ya chanzo huria. Kulingana na mpango huo, AI ya chanzo huria ina vipengele vinne muhimu: uhuru wa kutumia, kusoma, kurekebisha na kushiriki mfumo kwa madhumuni yoyote. Hughes alisema kuwa kufafanua AI ya chanzo-wazi ni muhimu kwa sababu ya kuongezeka kwa majukwaa ya usambazaji kama vile Hugging Face. “Mifumo hii ya AI, haswa zile za vyanzo huria, hutumiwa sana na mashirika mengi na watu binafsi kote ulimwenguni,” alisema. “Kwa hivyo tunarudi kuuliza: Ni nini hasa katika hili, na ni nani aliyechangia, na inatoka wapi? Na kuna sehemu zinazoweza kudhurika?” Hughes alisema kuwa mashirika makubwa yanaweza kuwa na nafasi nzuri ya kuzungumza kwa uwazi na wachuuzi wao juu ya msururu wa usambazaji wa programu zao kuliko kampuni ndogo. Kwa hiyo, tatizo la kutokuwa na mwonekano katika mifano ya AI inayotumiwa katika programu zao inaweza kukua kwa kasi kwa makampuni madogo. TAZAMA: Hivi karibuni watengenezaji wa vifaa mahiri wataweza kutuma maombi ya kuidhinisha usalama na serikali ya Marekani. CISA inahimiza usalama wa uundaji wa programu huria Mnamo Machi 2024, CISA ilikamilisha fomu salama ya uthibitishaji wa uundaji wa programu, iliyokusudiwa kwa wasanidi programu zinazotumiwa na serikali ya shirikisho la Marekani kuthibitisha kuwa wanatumia mbinu salama za usanidi. Mashirika ya shirikisho yanaweza kuuliza fomu zingine na uthibitisho pia. Kwa upande wa kibiashara, mashirika yanaweza kuunda mahitaji sawa katika michakato yao ya ununuzi. Bado kuna kipengele cha uaminifu kinachohusika kwa kuwa shirika linahitaji kuamini kuwa mchuuzi atatimiza ahadi yake. Lakini mazungumzo yanatokea mara nyingi zaidi sasa kuliko ilivyokuwa mwaka jana, kutokana na mashambulizi dhidi ya huduma za chanzo huria, Hughes alisema. Suluhu za mustakabali wa usalama wa programu huria Kufanya uchanganuzi wa utungaji wa programu haitoshi kufikia 2025, Hughes alisema. Wataalamu wa IT na wataalamu wa usalama wanapaswa kujua kwamba kadiri programu inavyozidi kuwa ngumu, idadi ya udhaifu imeongezeka “hadi ambapo inakuwa ushuru kwa wasanidi programu hata kuangazia kile kinachohitaji kurekebishwa na ni mpangilio gani wa kipaumbele,” Hughes alisema. Kampuni kama vile Endor Labs zinaweza kutoa maarifa kuhusu utegemezi ndani ya msimbo wa chanzo huria, ikijumuisha utegemezi usio wa moja kwa moja au wa mpito. “Kuweza kuelekeza kwenye mambo kama vile kufikiwa na kunyonywa … kunaweza kuwa faida kubwa kutokana na mtazamo wa utiifu pia, kulingana na mzigo kwa shirika na timu yako ya maendeleo,” alisema.
Leave a Reply