Linux基金会联合多方推出“Akrites”项目 抵御基于AI的开源软件漏洞攻击 (opens in new tab)

根据Linux基金会发布的信息，Akrites的核心目标是在广泛使用的关键开源项目中，建立起一套统一、标准化且以保密为优先原则的协调漏洞披露流程，并通过集中化的安全事件响应机制，对AI辅助发现的安全漏洞进行快速响应。 项目将重点面向支撑电信、金融、医疗、能源等关键基础设施的开源组件，力图在漏洞被攻击者利用之前，与上游维护者协同完成修复。作为支撑实体，Akrites将充当共享的安全事件响应团队（Security Incident Response Team，SIRT），并为严重漏洞提供单一的协调通道，避免开源维护者面对来自不同企业和机构的多重、重复报告，提高响应效率。 在这一模式下，漏洞处理过程将保持保密，修复补丁会通过原始项目维护流程回馈上游，确保修复在正确的版本和发布节奏中落地。 对于已经缺乏活跃维护者但仍被广泛依赖的关键软件包，Akrites还将充当“最后维护者”，在必要时协调推动修复进入主流发行版本。该项目获得了广泛的行业支持，首批参与方包括亚马逊云科技（AWS）、Anthropic、Chainguard、思科、花旗集团、Endor Labs、爱立信、Google、IBM、...