我们共同依赖开源,也将共同捍卫它
1. 开源:我们共同依赖的基石
几十年来,开源一直是技术领域的伟大成就之一——这是我们共同构建并完全依赖的软件。如今,这些代码支撑着人们日常依赖的关键基础设施和服务:银行、电信、公用事业等都在相同的开源库上运行。多年来,行业已将开源融入整个技术栈。然而,世界已经发生了变化。人工智能(AI)打破了攻击者与防御者之间原有的平衡,改变了软件易用性和复用性的格局。过去,在主要开源项目中找到一个严重漏洞需要专家花费数周时间。现在,机器只需几分钟就能完成,而且AI模型通常一次就能返回多个漏洞。同样的AI能力,既能帮助加固我们的软件,也可能在不当使用时,将漏洞发现变成一条流水线。这反过来已经加速了漏洞发现周期,其速度正迅速超过维护者修补漏洞的能力。这并非理论上的未来风险,而是我们负责的每个系统当前的现实状况。
2. Akrites:史上最大规模的协调修复计划
今天,我们宣布一项解决关键开源软件中这一问题的计划——Akrites是历史上规模最大的协调行动,旨在创建系统并部署工具,利用社区的集体力量让每个人都更安全。亚马逊云服务(Amazon Web Services)、Anthropic、Chainguard、思科(Cisco)、花旗(Citi)、Endor Labs、爱立信(Ericsson)、谷歌(Google)、IBM、摩根大通(JPMorganChase)、微软(Microsoft)和GitHub、英伟达(NVIDIA)、OpenAI、RapidFort、红帽(Red Hat)、Rust基金会(Rust Foundation)、Sonatype、沃达丰(Vodafone)和Zscaler已加入我们,共同发现、修复并负责任地披露关键开源软件中的漏洞,并支持依赖这些软件的关键基础设施的安全。
3. 新现实:AI加速下的漏洞发现与修复困境
我们依赖的全球技术和开源软件中,很大一部分由相同的组件构建,携带相同的潜在缺陷,现在又面临相同的加速发现风险。没有哪家供应商的壁垒高到足以将这个问题转嫁给他人。过去,安全响应和披露涉及多个组织和团队的拼凑,他们常常处理相同的问题,有时会发布冲突的补丁或多份报告。在这种新环境下,缺乏协调的行动只会加剧问题并浪费宝贵时间。当数十家公司独立扫描同一个库并各自提交报告时,维护者会被噪音淹没。每个持有未修补漏洞的额外方都会增加漏洞在修复前泄露的几率,从而增加我们所有人的风险。因此,我们明确声明:我们都依赖开源,我们将共同捍卫它。Akrites是我们承诺采取不同行动,在上游——即维护者所在之处——主动应对这一新现实。这种方法提供了一个保密、可信的场所来协调发现、修复和披露,以匹配或超越AI辅助攻击者的速度。一个共享的、专门的安全事件响应团队(Security Incident Response Team)为维护者提供了一个单一、可预测的合作伙伴,而不是数百份不协调的报告。
4. 上游修复与下游保护:从源头到关键基础设施
随着Akrites在上游工作,从源头修复项目,我们承诺支持下游工作,在关键基础设施被利用之前保护它。当补丁公开发布时,对手能够利用AI快速逆向工程底层漏洞,开发漏洞利用程序并发起攻击。因此,我们努力的成功将以补丁部署而非发布来衡量。我们将与关键基础设施所有者和运营商、民间社会努力以及政府合作,加强协调以实现这些目标。保密性不容妥协:广泛部署的软件包中未公开的缺陷实际上是一种武器,该计划的首要任务是防止泄露。修复程序将返回每个项目的原始仓库,并与维护者合作。Akrites参与者提供的工程资源和其他能力将为此努力做出贡献。此外,当关键软件包无人维护时,Akrites将作为最后手段的维护者,确保修复程序能及时送达所有人。我们还将与政府努力保持一致,使公共和私人防御者协同行动,而非各自为政。
5. 承诺与行动:资源投入与集体责任
Akrites参与者将贡献工程资源;致力于构建和发布修复程序;或资助从事这些工作的工程师。一些公司已经做出了巨大贡献。现实是,我们需要集体贡献更多。今天,签署方承诺投入实际资源——工程人才、安全专业知识和资金——来加固我们共享的软件。几十年来,我们受益于维护者们的出色工作。作为我们对开源的责任和承诺的一部分,我们将作为合作伙伴共同迎接这一时刻,让所有人都更安全。现在,窗口是敞开的,可以领先于新的开源安全风险现实,但它不会一直敞开。我们可以共同应对新风险,同时留下对开源的支持和承诺的遗产,确保未来多年全球技术系统的安全。共同修补公共资源。
6. 行业领袖的声音:协调合作是唯一出路
亚马逊云服务(Amazon Web Services):“前沿AI模型赋予了防御者以前所未有的速度和规模发现和修复开源软件漏洞的能力。这对防御者来说是一个巨大的机遇,Akrites确保我们共同抓住它。维护者值得一个协调的合作伙伴关系,而不是洪水般的报告。AWS致力于保护客户依赖的项目,并与社区一起构建这一共享基础设施。”——Matt Wilson,亚马逊云服务副总裁兼杰出工程师
Anthropic:“开源项目共同支撑了互联网的大部分,而现有的协调披露模式已被AI发现漏洞的速度所超越。要领先一步,需要行业协调发现结果,并在漏洞披露和利用前将修复程序推向上游。像Akrites这样的努力以当前所需的速度和规模推动了这种协调。”——Jason Clinton,Anthropic副首席信息安全官
Chainguard:“软件供应链的强度取决于其上游,我们看到这一层实际上有多薄弱。随着AI发现更多漏洞,行业将急于修补。没有协调,这些修复将分散在不同的补丁和分支中,以及那些已经不堪重负、无法联系或多年未碰项目的维护者手中。Akrites为行业提供了一种协调的方式,在漏洞被利用前在上游修复,同时维护者仍保持控制。现在的工作是确保另一端总有人能接住它们。”——Dan Lorenc,Chainguard首席执行官兼联合创始人
思科(Cisco):“发现一个严重的开源漏洞过去需要专家数周时间。现在机器只需几分钟。当维护者输掉这场竞赛时,其他人也会输。没有哪家公司、维护者或政府能独自缩小这一差距。这就是为什么思科将其网络基础设施、安全专业知识和数十年的开源贡献带入Akrites——因为防御者不能输,维护者不能独自应对。”——Vijoy Pandey,思科Outshift高级副总裁兼总经理
花旗(Citi):“AI的进步显著减少了发现和利用漏洞所需的工作量。与Linux基金会和Akrites项目合作,花旗致力于通过帮助构建一个识别和修复漏洞并共享建议补丁的框架来支持开源生态系统。该计划专注于保护关键基础设施,是我们帮助行业缓解新兴威胁的关键部分。”——Al Tarasiuk,花旗首席信息安全官
云原生计算基金会(CNCF):“开源云原生基础设施是现代生产软件的操作支柱。当运行在数千个Kubernetes集群和云原生部署中的组件存在漏洞时,爆炸半径巨大。Akrites解决了长期使大规模修复如此困难的协调问题:在窗口关闭前,让合适的人、在合适的上下文中、处理合适的修复。CNCF和OpenInfra自豪地支持这一将开源生态系统视为共享关键基础设施的努力。”——Jonathan Bryce,云原生计算基金会(CNCF)执行董事
Endor Labs:“多年来,我们一直认为发现漏洞从来不是最难的部分。修复才是。AI使这一差距无法忽视。在最近几个月浮出水面的数千个已验证的开源漏洞中,只有不到5%得到了修补。Endor Labs是Akrites的创始成员,因为它正是为当前所需的响应而构建的:在上游进行协调修复,保密处理,由维护者控制,以便一个可信的修复能到达所有依赖该代码的人。”——Varun Badhwar,Endor Labs首席执行官兼联合创始人
爱立信(Ericsson):“漏洞发现的速度现在已压倒了维护开源项目的维护者和依赖它们的用户。不协调的报告、修补和披露造成了摩擦,使整个生态系统面临风险。没有哪个组织能独自解决这个问题。这就是为什么爱立信作为高级成员加入Akrites,贡献资金和人才,共同维护开源软件的安全和繁荣。”——Per Beming,爱立信首席标准化官
谷歌(Google):“随着AI加速漏洞发现的规模和速度,保护开源生态系统需要同样快速、协调的响应。通过加入Akrites,我们将谷歌长期以来对开源安全的承诺与行业专业知识相结合,确保漏洞在被利用前被发现、修复并负责任地披露。保护驱动世界关键基础设施的软件对于维护我们数字未来的信任至关重要。”——Heather Adkins,谷歌安全工程副总裁
摩根大通(JPMorganChase):“AI已将漏洞发现和利用之间的时间大幅压缩到近乎实时,这意味着我们必须压缩从修复到部署的时间。这就是为什么我们摩根大通正在帮助构建这一努力,以补丁部署而非发布来衡量成功。我们支持一种机制,使关键基础设施的下游运营商能够确保修复程序在对手将披露转化为利用之前到达实际系统。在上游,我们欠维护者一个单一、可靠的信号:已确认的漏洞、经过充分测试的建议修复,以及一个他们可以信任的可预测合作伙伴,而不是大量重复、冲突的报告。”——Pat Opet,摩根大通首席信息安全官
IBM:“开源驱动着我们日常依赖的系统——从银行、医院到电网和AI平台,”Jamie Thomas,IBM企业安全执行官表示。“随着前沿AI加速漏洞发现,风险已变得太大,任何单一组织都无法独自应对。这就是为什么生态系统方法至关重要,将社区、技术提供商和企业聚集在一起,确保以当今所需的新速度协作解决漏洞。”——Jamie Thomas,IBM企业安全执行官
LF Energy:“LF Energy支持行业联合起来,提高我们能源系统所依赖的开源软件的安全性。我们的项目在关键基础设施中运行,从电网运营和变电站到电动汽车充电网络,因此软件供应链的完整性至关重要。我们支持一种协调的、上游友好的方法,与维护者合作,并分担保护关键开源组件安全的投资。”——Alex Thornton,LF Energy执行董事
微软和GitHub:“OpenSSF和Alpha-Omega展示了当行业联合起来加强开源安全时可能实现的目标。基于我们共同创立这些组织的经验,Akrites旨在应对AI驱动的漏洞发现和防御这一新兴转折点。作为创始成员,微软将贡献专业知识、资源和AI技术,帮助负责任地识别和修复客户和组织依赖的开源软件生态系统中的漏洞。”——Mark Russinovich,Azure CTO、副CISO和技术研究员
英伟达(NVIDIA):“透明和开放协作是网络安全社区几十年来保持基础设施安全的方式。在AI时代,这些开源基础从未如此关键。开源AI是美国创新的引擎——也是我们部署AI时所需的安全性、信任和透明度以推动这场工业革命的最强大工具之一。”——David Reber,英伟达首席安全官
OpenInfra:“AI驱动的漏洞发现正在迅速增加开源安全和漏洞管理团队的工作量。举个例子,OpenStack社区仅本季度就发布了20个安全公告,而2025年全年只有两个。随着报告问题数量的持续加速,OpenInfra基金会欢迎帮助关键开源基础设施项目有效管理上游这一日益增长的发现流量的努力。”——Thierry Carrez,OpenInfra基金会总经理
OpenJS:“OpenJS基金会认为,提高开源安全是共同责任。随着组织越来越多地使用自动化工具来识别潜在漏洞,有助于验证发现、减少噪音和支持协调修复的协作方法至关重要。我们欢迎加强行业与维护者之间关系,同时帮助提高开源软件生态系统安全性和韧性的努力。”——Robin Bender Ginn,OpenJS基金会执行董事
OpenSSF:“AI驱动的漏洞发现的快速步伐是一个新现实,没有哪个团队能独自面对。OpenSSF坚定支持这一使命,因为它优先考虑我们共享的开源项目的健康。这种协调的方法使我们能够保护我们的社区,并建立我们未来所需的韧性。”——Steve Fernandez,OpenSSF总经理
PyTorch基金会:“开源基金会存在的目的是为行业创造共同完成艰难工作的条件,这些工作没有哪个组织能独自完成。安全也不例外。AI从根本上改变了漏洞发现的数学计算,单打独斗不仅效率低下,而且危险。像Akrites这样的努力为尽可能广泛的参与和尽可能大的影响铺平了道路。”——Mark Collier,PyTorch基金会执行董事
RapidFort:“只有当我们保持工作开放、上游并可供所有依赖它的人使用时,开源才能发挥作用。应对AI驱动的漏洞危机的答案不是将生态系统分割在专有壁垒之后,或将社区基金会变成封闭产品。它必须是协调的修复,保留原始软件的完整性,与维护者合作,并将修复返回公共资源。我们自豪地支持Akrites倡议,这符合我们的信念:从内部加强开源生态系统,帮助组织在不必要代码更改的情况下降低风险,并使我们共享的软件对每个人都更安全。”——Mehran Farimani,RapidFort首席执行官
红帽(Red Hat):“开源是现代软件创新的基础。保护这一基础需要能够大规模应对威胁的协调上游社区响应。红帽参与Akrites的重点是加强这一上游生态系统。通过公开协作以在源头识别和修补漏洞,我们帮助为整个行业构建更具韧性的软件供应链。”——Chris Wright,红帽首席技术官兼全球工程高级副总裁
Rust基金会:“长期以来,上游维护者的善意和责任感在安全响应过程中被视为理所当然。Akrites承诺与上游维护者进行有意义的协调,提供财务和全职支持,以负责任地发现、修复和披露安全漏洞,并得到科技和金融领域最具影响力公司的真正承诺来解决这个问题。Rust基金会期待与Akrites合作,开发适合未来的安全方案。”——Rebecca Rumbul,Rust基金会执行董事兼首席执行官
Sonatype:“Sonatype每天都能看到现代世界的依赖关系图。一个单一的易受攻击组件可能位于数千个组织之下,这意味着一个上游修复可以降低整个生态系统的风险。AI可能使漏洞发现变得极其容易,但它不会自动实现协调修复。Akrites之所以重要,是因为它为行业提供了一种保密的方式,在上游共同完成这项工作,在同一个缺陷变成数千个独立事件之前。”——Brian Fox,Sonatype联合创始人兼CTO,Maven Central守护者
沃达丰(Vodafone):“随着AI加速漏洞发现的能力不断增强,现在是时候联合起来,投入资源保护电信和许多其他行业所依赖的关键开源软件了。作为创始成员,沃达丰已承诺为Akrites贡献专业知识和资金。这一统一倡议将推动全行业协调方法,负责任地识别和修复运行世界依赖系统的软件中的漏洞。”——Paul Hopkins,沃达丰网络IT战略与架构总监
Zscaler:“AI改变了攻防双方的速度。现在漏洞可以以机器速度被发现,这意味着防御者必须同样快速行动。Akrites通过更早发现问题、协调负责任地修复并将修复推向上游,帮助将这种速度转化为开源生态系统的优势。Zscaler自豪地成为其中一员。”——Deepen Desai,Zscaler执行副总裁兼首席安全官
7. 保持关注与版权信息
保持关注Akrites的最新动态。版权归Linux基金会及其贡献者所有。| 商标 | 隐私 | 条款 | 政策 | 品牌指南
🔗 原文链接:https://akrites.org/letter/