我们都依赖开源。我们将共同捍卫它

一封公开信我们都依赖开源。我们将共同捍卫它。关于 Akrites 发布的一封公开信——一项协调一致的努力，旨在修复世界上运行的开源软件中的漏洞几十年来，开源一直是技术的伟大成就之一——我们共同构建并完全依赖的软件。如今，这些代码支撑着人们每天依赖的世界关键基础设施和服务：银行、电信、公用事业等都在相同的开源库上运行。多年来，该行业将开源融入到整个技术堆栈中。现在，它周围的世界已经发生了变化。人工智能打破了攻击者和防御者之间先前的平衡，改变了软件的易用性和重用性等式。过去，专家需要花费数周时间才能在大型开源项目中发现严重漏洞。现在，这需要机器几分钟的时间，并且人工智能模型通常会在一次传递中返回多个漏洞。同样的人工智能功能可以帮助强化我们的软件，但如果落入坏人之手，就会将漏洞发现变成一条管道。反过来，这已经加速了这个周期，其速度很快超出了维护人员修补漏洞的能力。这不是理论上的未来风险。这是我们负责的每个系统的现状。今天，我们宣布一项解决关键开源软件中这一问题的计划——Akrites 是历史上最大的协调努力，旨在创建系统和部署工具，利用社区的集体力量让每个人都更安全。我们与 Amazon Web Services、Anthropic、Chainguard、Cisco、Citi、Endor Labs、Ericsson、Google、IBM、JPMorganChase、Microsoft 和 GitHub、NVIDIA、OpenAI、RapidFort、Red Hat、Rust Foundation、Sonatype、Vodafone 和 Zscaler 一起查找、修复和负责任地披露关键开源软件中的漏洞，并支持依赖于该软件的关键基础设施的安全。我们所依赖的世界技术和开源软件中很大一部分是由相同的组件构建的，并且具有相同的潜在缺陷，并且现在面临相同的加速发现。没有哪个供应商的围墙足够高，不会让这个问题变成别人的问题。以前，安全响应和披露涉及组织和团队的拼凑，通常致力于解决相同的问题，有时会发布相互冲突的补丁或多个报告。在新环境下，不协调行动将使问题恶化并浪费宝贵的时间。当数十家公司独立扫描同一个库并各自提交报告时，我们将维护人员淹没在噪音中。每多一个拥有未修补漏洞的一方都会增加在修复之前该漏洞泄露的可能性，从而增加我们所有人的风险。所以我们明确表示：我们都依赖开源，我们都将共同捍卫它。 Akrites 是我们采取不同行动并采取上游行动的承诺，那里是维护者居住的地方，也是我们可以主动应对这一新现实的地方。这种方法提供了一个保密、可信的地方来协调发现、修复和披露，匹配或超越人工智能辅助攻击者的速度。共享的、专门的安全事件响应团队为维护人员提供了一个单一的、可预测的合作伙伴，而不是一百个不协调的报告。由于 Akrites 在上游从源头修复项目，我们承诺支持下游工作，以确保关键基础设施在被利用之前得到保护。当补丁向公众发布时，攻击者能够利用人工智能快速逆向工程潜在漏洞、开发漏洞并发起攻击。因此，我们的努力是否成功将通过补丁部署而不是发布来衡量。我们将与关键基础设施所有者和运营商、民间社会努力以及政府合作，加强协调以实现这些目标。保密性是不容谈判的：广泛部署的软件包中未公开的缺陷实际上是一种武器，并且首先构建该程序是为了防止泄密。修复工作会回流到每个项目自己的家中，与维护人员一起工作。 Akrites 参与者提供的工程资源和其他能力为这一努力做出了贡献。此外，当一个关键软件包无人维护时，Akrites 将作为最后的维护者，以便修复仍然可以及时到达每个人。我们还将配合政府的努力，使公共和私人辩护人能够共同行动，而不是相互脱节。 Akrites参与者将贡献工程资源；致力于构建和发布修复；或者资助那些这样做的工程师。一些公司已经做出了巨大贡献。现实是，我们需要共同做出更多贡献。今天，签署人承诺提供真正的资源——工程人才、安全专业知识、