Google ha hecho su última desafío de que la IA puede resolver uno de los dolores de capital más persistentes de la tecnología: fijar el ecosistema de código descubierto en expansión que sustenta todo, desde aplicaciones móviles hasta infraestructura en la aglomeración. El titán tecnológico está intensificando su compromiso con la seguridad de código descubierto con una nueva ola de inversiones y herramientas impulsadas por IA. La medida se produce en medio de vulnerabilidades en las bibliotecas de código descubierto que continúan afectando tanto a las empresas como a los desarrolladores. Hexaedro que los modelos de IA dependen cada vez más de componentes de código descubierto, el momento señala el gratitud por parte de Google de que fijar la condena de suministro de software ya no es opcional.
El anuncio de la compañía, entregado por el vicepresidente de Privacidad, Seguridad y Protección de Google, promete nuevas inversiones, nuevas herramientas y capacidades de seguridad de código mejoradas con IA diseñadas para detectar vulnerabilidades.
Curiosamente, el momento no es una coincidencia. Los componentes de código descubierto representan ahora entre el 70% y el 90% de las aplicaciones modernas según la investigación de Synopsys, pero la seguridad sigue siendo una idea de postrer momento para muchos proyectos mantenidos por desarrolladores voluntarios.
Los recientes ataques a la condena de suministro dirigidos a repositorios npm y PyPI han demostrado cómo un único paquete comprometido puede afectar a miles de aplicaciones posteriores. La medida de Google reconoce que a medida que los modelos de IA consumen más código fuente descubierto durante el entrenamiento y la implementación, la superficie de ataque se está expandiendo exponencialmente.
Google ya ejecuta algunos de los programas de seguridad de código descubierto más agresivos de la industria. Su equipo Project Zero pesquisa vulnerabilidades de día cero en todos los ecosistemas de software, mientras que OSS-Fuzz ha descubierto más de 10.000 errores en proyectos críticos de código descubierto mediante fuzzing continuo. La nueva iniciativa parece superponer el estudio impulsado por IA a estos esfuerzos existentes, automatizando potencialmente la detección de vulnerabilidades a una escalera que los investigadores humanos no pueden igualar.
About The Author
