Akritesの参加企業は誰ですか？

Amazon Web Services、Anthropic、Cisco、Citi、Google、IBM、JPMorganChase、Microsoft、NVIDIA、OpenAI、Red Hat、Rust Foundation、Vodafone、Zscalerが創設メンバーとして参加しており、エンジニアリングリソースと資金を提供したい組織は参加できます。

修復対象の脆弱性はどう選ばれますか？

Security Incident Response Team（SIRT）が報告を精査し、重複を除外した上で修復を調整します。Coordinated Vulnerability Disclosureという業界標準を使い、CVE識別子、CVSS重大度スコア、TLPトラフィックライトプロトコルといった確立された枠組みに基づいて進めます。

メンテナーがいないプロジェクトはどうなりますか？

Akritesが「最後のメンテナー」として修復を実装し、パッチが全ユーザーに届くよう調整する計画です。

記事一覧に戻るAIコーディング

AIコーディングオープンソースAI

Linux Foundation、オープンソース脆弱性を先制修復 AI攻撃対策で20社連携

THE DECODER1日前6分で読める

要点

Linux Foundationと約20の大手テク企業・金融機関がAkritesという連携体制を立ち上げ、AI活用で急速に発見された脆弱性をメンテナーと協力して先制修復します。従来は複数組織が同じバグを重複報告してメンテナーの負担が増す一方、実際に悪用可能なバグが見落とされるという悪循環がありましたが、統一された対応チームと「メンテナー不在時の最後の砦」機能により、オープンソース生態系全体のセキュリティ向上を目指しています。

こういう要約が、毎朝あなたのメールに届きます。

無料で登録 →

3つのポイント

何が起きたか
Linux FoundationがAkritesという業界連携イニシアティブを立ち上げました。Amazon Web Services、Anthropic、Cisco、Google、IBM、JPMorganChase、Microsoft、NVIDIA、OpenAI、Red Hat、Rust Foundation、Vodafone、Zscalerなど約20の企業・研究機関が参加し、攻撃者に悪用される前にオープンソースソフトウェアの脆弱性を修復します。
なぜ重要か
AIモデルは大規模プロジェクトを数分でスキャンできるようになり、従来は数週間かかっていた脆弱性の発見が急速化しました。これまで多くの組織が同じパッケージを独立して報告し、メンテナーが重複する指摘に埋もれてしまう一方、実際に悪用可能なバグは見落とされるという課題がありました。Endor Labs CEOの指摘によれば、最近数か月の検証済みオープンソース脆弱性のうち、パッチが当たったのは5%未満です。
注目点
Akritesは統一された Security Incident Response Team（SIRT）を置き、メンテナーが単一の窓口と協力できる仕組みです。メンテナーが不在の重大パッケージについては「最後のメンテナー」として対応し、パッチが全ユーザーに届く体制を計画しています。初期資金はLinux Foundation傘下のAlpha-Omegaから提供されます。

無料登録して続きを読む

よくある質問

Akritesの参加企業は誰ですか？: Amazon Web Services、Anthropic、Cisco、Citi、Google、IBM、JPMorganChase、Microsoft、NVIDIA、OpenAI、Red Hat、Rust Foundation、Vodafone、Zscalerが創設メンバーとして参加しており、エンジニアリングリソースと資金を提供したい組織は参加できます。
修復対象の脆弱性はどう選ばれますか？: Security Incident Response Team（SIRT）が報告を精査し、重複を除外した上で修復を調整します。Coordinated Vulnerability Disclosureという業界標準を使い、CVE識別子、CVSS重大度スコア、TLPトラフィックライトプロトコルといった確立された枠組みに基づいて進めます。
メンテナーがいないプロジェクトはどうなりますか？: Akritesが「最後のメンテナー」として修復を実装し、パッチが全ユーザーに届くよう調整する計画です。