Linux Foundationは、Mythosの出現などを念頭に置いた「AIを活用した脆弱性発見」の時代において、オープンソースソフトウェアのセキュリティ強化を目的とした業界横断の共同イニシアチブ「Akrites」を発表した。
同イニシアチブには、Amazon Web Services、Anthropic、Chainguard、Cisco、Citi、Endor Labs、Ericsson、Google、IBM、JPMorganChase、Microsoft、GitHub、NVIDIA、OpenAI、RapidFort、Red Hat、Rust Foundation、Sonatype、Vodafone、Zscalerが創設メンバーとして参画している。
主要なテクノロジー企業、AI研究所、金融機関、セキュリティベンダーが結集し、広く利用されているオープンソースプロジェクトの脆弱性が悪用される前に、アップストリームのメンテナーと連携して修復を行う共通の使命を担うとのことだ。
Akritesの発足にあたり、創設メンバーはテクノロジー業界に向けた共同公開書簡『We All Depend on Open Source. We Will Defend It Together.』を公開した。
同イニシアチブは、脆弱性への対応、修正、情報開示を一元的かつ信頼できる形で調整するための共通基盤を提供するとしている。共有のセキュリティインシデント対応チーム(SIRT)が、個別に寄せられる重複した報告に代わって、メンテナーとの連携を一元的に担うとのことだ。また、重要インフラの運用組織と連携し、脆弱性が悪用される前に修正パッチを展開できるよう支援すると述べている。
この取り組みは、機密性の保持が中核を成しており、バグの修正は、それぞれのプロジェクトのメンテナーの意向に基づき、元のプロジェクトに反映されるとしている。重要なパッケージにアクティブなメンテナーが存在しない場合、Akritesが最後の受け皿としてメンテナーの役割を担い、最新バージョンへの修正が迅速かつ確実に利用者へ届けられるよう支援するとのことだ。また、同イニシアチブは政府の取り組みとも連携し、官民のセキュリティ対応が足並みをそろえて進められるよう調整を行うとしている。
【関連記事】
・NRIセキュア、Mythosと同レベルで未公表の脆弱性を検出・対応策を提示するサービス提供開始
・Mythosショックで広がるセキュリティリスク、東大先端研の西尾素己氏やWizが警鐘鳴らす
・日立ソリューションズ・クリエイト、フロンティアAIのサイバー脅威への対応を学ぶ経営者向け研修を開始
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
