W trakcie pierwszej konferencji Securing Open Source Software (SOSS) Fusion organizowanej przez Linux Foundation w Atlancie, prezes firmy HackerOne, Mårten Mickos, przedstawił swoje przemyślenia na temat roli sztucznej inteligencji, oprogramowania open source oraz kwestii związanych z bezpieczeństwem. Jego wypowiedzi rzucają światło na to, jak współpraca w świecie open source może efektywnie rozwiązywać problemy związane z cyberbezpieczeństwem.
Siła Open Source w Bezpieczeństwie
W swoim wystąpieniu Mickos podkreślił, że siła oprogramowania open source polega nie na zgodzie, ale na różnorodności oraz współpracy w różnych podejściach. Jak sam powiedział: „Prawdziwa siła open source nie tkwi w tym, że się zgadzamy, ale w tym, że pomimo różnic działamy wspólnie, by osiągnąć cel”. Ten model współpracy obejmuje również zapewnienie bezpieczeństwa w repozytoriach open source, co jest kluczowym aspektem w dzisiejszym świecie oprogramowania.
Nawiązując do cyberbezpieczeństwa, Mickos podkreślił, że czas reakcji jest kluczowy. Nawet najsłabsze zabezpieczenia mogą być skuteczne, jeśli są szybkie. „Pamiętam czasy, gdy internet liczył 4 miliony użytkowników. Teraz to miliardy, a wszystko jest ze sobą połączone,” dodał, podkreślając, że dzisiejsze zagrożenia są znacznie bardziej skomplikowane i wymagają nowoczesnych rozwiązań.
Współpraca jako Fundament Cyberobrony
Mickos wskazał, że w obliczu rosnących zagrożeń współpraca jest najlepszą strategią obrony. „Kiedy dobrzy ludzie współpracują, przewyższają liczebnie tych złych” – podkreślił, zaznaczając, że jedynym trwałym rozwiązaniem jest wspólna obrona. To podejście, określane jako „defense in collaboration”, staje się coraz popularniejsze obok tradycyjnej „obrony w głębi” (defense in depth).
Jako przykład Mickos przytoczył projekt curl, popularne narzędzie open source, które znacznie poprawiło swoje bezpieczeństwo dzięki współpracy z platformą HackerOne oraz systemowi nagród dla osób wykrywających luki w zabezpieczeniach. Daniel Stenberg, twórca curl, podkreślił, że ten program nagród był ogromnym sukcesem i stanowi kluczowy element w misji utrzymania bezpieczeństwa użytkowników.
Znaczenie Wielopoziomowej Obrony
Chociaż współpraca jest kluczowa, Mickos zaznaczył, że wielopoziomowa obrona jest równie ważna. „Potrzebujemy wielu warstw ochrony. Nie wystarczy przetestować raz. Projektowanie systemu bezpieczeństwa musi być na każdym etapie,” podkreślił, odnosząc się do zasady security by design. Niestety, według Mickosa, wiele firm nie przykłada dostatecznej uwagi do bezpieczeństwa, co widać również w sektorze sztucznej inteligencji.
Sztuczna Inteligencja a Bezpieczeństwo
Niestety, jak wynika z badań HackerOne, wiele firm AI ma poważne braki w zakresie bezpieczeństwa. Tylko 5% firm AI proaktywnie komunikuje swoje podejście do bezpieczeństwa w przestrzeni publicznej. Co więcej, ponad połowa z tych firm nie posiada żadnych publicznych informacji na temat swoich polityk bezpieczeństwa. Mickos określił to podejście jako „karygodne” i nawoływał do większej przejrzystości w procesach tworzenia oprogramowania, w tym modeli AI.
„Jak daleko możemy pójść z otwartością, jeśli chodzi o AI?” – pytał Mickos, sugerując, że pełna przejrzystość w kontekście parametrów, wag i wdrożeń AI jest nieunikniona. „Jedynym długoterminowym rozwiązaniem jest tworzenie oprogramowania i systemów AI, które mogą być weryfikowane i testowane z zewnątrz,” podsumował.
Przyszłość Zabezpieczeń Open Source
Mickos zakończył swoje wystąpienie optymistycznym akcentem, podkreślając postępy, jakie zostały poczynione w dziedzinie współpracy w zakresie bezpieczeństwa. Szczególnie docenił inicjatywy amerykańskiego rządu, takie jak ramy NIST i działania CISA. W obliczu postępującej cyfryzacji oraz rosnącej roli sztucznej inteligencji, Mickos wezwał branżę technologiczną do priorytetowego traktowania wspólnej obrony i transparentności.
Wszystko wskazuje na to, że open source pozostaje jednym z najlepszych sposobów nie tylko na rozwój oprogramowania, ale także na zapewnienie jego bezpieczeństwa. Jeśli branża przyjmie podejście oparte na współpracy i otwartości, może efektywnie stawić czoła coraz większym zagrożeniom w dynamicznie rozwijającym się świecie cyfrowym.
