GitHub объявил о расширении поддержки мейнтенеров открытого кода и усилении безопасности экосистемы с опорой на искусственный интеллект и автоматизацию.
Компания присоединилась к Anthropic, Amazon Web Services (AWS), Google и OpenAI и вложит $12,5 млн в инициативу Alpha-Omega под управлением Linux Foundation. Цель сотрудничества — усилить безопасность ключевых open source-проектов и помочь мейнтенерам внедрять новые AI-инструменты защиты прямо в рабочие процессы.
GitHub подчёркивает, что поддержка открытого кода означает не только размещение репозиториев, но и инвестиции в людей, которые их сопровождают. Компания заявляет, что мейнтенеры перегружены: им приходится обрабатывать пулреквесты и отчёты о проблемах, одновременно отвечая за выпуск релизов и безопасность, на фоне роста числа автоматических отчётов и влияния ИИ на атаки и защиту.
По данным GitHub, сегодня более 280 000 мейнтенеров на платформе, работающих с сотнями миллионов публичных репозиториев, имеют право на бесплатный доступ к ряду сервисов: базовым возможностям GitHub, GitHub Copilot Pro, GitHub Actions и средствам безопасности. В их числе: сканирование кода и Autofix, поиск секретов, защита при пуше и оповещения о зависимостях.
GitHub Security Lab взаимодействует с сообществом для защиты от распространённых угроз на масштабном уровне и публикует рекомендации по безопасности, которые позволяют экосистеме быстрее реагировать на уязвимости.
Компания опирается на опыт программы GitHub Secure Open Source Fund. В рамках этой инициативы поддержано 138 проектов более чем 200 мейнтенеров в 38 странах. Результат: появилось 191 новое зарегистрированное CVE, предотвращено утечка более 250 секретов и выявлено и устранено более 600 уже утекших секретов. Эти изменения затронули проекты с миллиардами ежемесячных загрузок. GitHub отмечает, что сочетание финансирования, обучения и практической помощи по коду напрямую связано с улучшением показателей безопасности.
Компания указывает, что ИИ резко ускорил поиск уязвимостей как для защитников, так и для атакующих. Мейнтенеры оказываются на «передовой» безопасности, сталкиваются с большим объёмом автоматических отчётов и пулреквестов с низкой полезностью, что усиливает выгорание.
Мейнтенер Log4j Кристиан Гробмайер (Christian Grobmeier) описывает ситуацию так: «наш ИИ должен быть лучше атакующего ИИ». GitHub заявляет, что фокусируется не просто на увеличении числа найденных проблем, а на помощи мейнтенерам в приоритизации, понимании и исправлении уязвимостей без потери интереса и устойчивости к работе над open source. В качестве примера компания указывает открытый AI-фреймворк для исследований в области безопасности, который должен помогать не только специализированным security-командам, но и авторам проектов.
GitHub планирует дальше развивать инструменты вроде настроек контроля пулреквестов и добиваться того, чтобы ИИ усиливал работу мейнтенеров на всех этапах: от сортировки задач и ревью до выявления и исправления уязвимостей. По позиции компании, ИИ не должен становиться дополнительным источником давления. Уже сейчас мейнтенеры значимых open source-проектов имеют доступ к Copilot Pro с функциями AI-поддержки при ревью кода, сценариями автоматизированного исправления уязвимостей и доступом к нескольким ведущим моделям, которые помогают быстрее находить и устранять риски.
GitHub формулирует цель так: ИИ должен снижать нагрузку на мейнтенеров, а не увеличивать её. Компания подчёркивает, что будет дорабатывать решения совместно с сообществом на основе практических отзывов и реальных результатов.
GitHub отмечает, что ни одна компания или группа не может обеспечить безопасность открытого ПО в одиночку. Разработкой критически важного софта занимается глобальное сообщество, а его защита требует совместной работы разных экосистем и экономик. В партнёрстве с инициативой Alpha-Omega и мейнтренерами GitHub планирует масштабировать эффект без распыления усилий, сочетая платформу, инструменты и программы компании с механизмами общественного управления и доверием.
Ключевой акцент GitHub делает на инвестициях в людей, а не только в проекты. Компания подчёркивает, что открытый код развивается, когда мейнтенеры получают поддержку, уважение и возможности для эффективной работы, и выражает благодарность всем, кто развивает open source.
GitHub предлагает мейнтенерам опробовать Maintainer Hub, активировать доступные инструменты и подать заявку на участие в GitHub Secure OSS Fund. В рамках четвёртой сессии программы, которая пройдёт в конце апреля, каждый проект-участник получит $10 000, подписку Copilot Pro, $100 000 кредитов Azure и три недели обучения по безопасности и участие в профильном сообществе.
По данным GitHub, агент GitHub Security Lab Taskflow эффективно находит уязвимости с высоким влиянием, такие как обход аутентификации (Auth Bypass), некорректный контроль прямого доступа к объектам (IDOR) и утечки токенов.
Компания также указывает, что планирует анализировать данные об open source-проектах на GitHub за 2025 год, чтобы лучше понимать будущие тенденции, и продолжит поддерживать критичные ИИ-стек-проекты через GitHub Secure Open Source Fund, помогая ускорять исправления, усиливать устойчивость экосистем и повышать уровень безопасности открытого кода.
Источник: материалы GitHub.
