Akrites
A Linux Foundation és több mint húsz vezető technológiai vállalat – köztük az Amazon Web Services, Google, Microsoft, OpenAI, Anthropic, NVIDIA, Cisco, IBM, Red Hat, JPMorganChase és Vodafone – elindította az Akrites kezdeményezést, amelynek célja a kritikus nyílt forráskódú szoftverek biztonságának megerősítése az AI által felgyorsított sérülékenység-felderítés korszakában. A kezdeményezés abból indul ki, hogy a fejlett AI-modellek ma már percek alatt képesek olyan hibákat azonosítani, amelyek korábban napokig vagy hetekig tartó manuális elemzést igényeltek, miközben a legtöbb nyílt forráskódú projektet néhány önkéntes fejlesztő tartja fenn. Az Akrites célja, hogy az iparág közösen biztosítson mérnöki kapacitást, finanszírozást és incidenskezelési támogatást ezeknek a projekteknek, mielőtt a sérülékenységek nyilvánosságra kerülnének vagy kihasználhatóvá válnának.
A kezdeményezés központi eleme egy közös Security Incident Response Team (SIRT) és egy egységes Coordinated Vulnerability Disclosure (CVD) folyamat létrehozása. Az Akrites a meglévő iparági szabványokra – CVE, CVSS, CWE, EPSS, SSVC, VEX és TLP – épít, így a résztvevők egységes módon kezelhetik a sérülékenységek bejelentését, javítását és felelős nyilvánosságra hozatalát. A cél nem új szabványok létrehozása, hanem a jelenlegi, széttagolt incidenskezelési folyamatok összehangolása és a javítások felgyorsítása a kritikus infrastruktúrák – például a pénzügyi szektor, az egészségügy, az energetika, a távközlés, a kormányzati rendszerek és az AI-platformok – számára alapvető nyílt forráskódú komponensek esetében.
A Linux Foundation szerint az Akrites kiegészíti a már működő OpenSSF és Alpha-Omega programokat, míg azok elsősorban a nyílt forráskódú projektek hosszú távú biztonságának fejlesztésére koncentrálnak, az Akrites a gyors, összehangolt incidenskezelésre és a sérülékenységek AI-sebességű javítására fókuszál. A kezdeményezéshez olyan szervezetek csatlakozhatnak, amelyek mérnöki erőforrásokkal, biztonsági szakértelemmel vagy finanszírozással képesek támogatni a kritikus nyílt forráskódú ökoszisztéma védelmét. Az üzenet egyértelmű, mivel a mesterséges intelligencia a támadók számára is jelentősen felgyorsítja a sérülékenységek felkutatását és kihasználását, a védekezés csak iparági szintű együttműködéssel tartható fenn.
