我们都依赖开源。我们将共同捍卫它。这是一封关于Akrites启动的公开信——这是一个协调努力，旨在修复全球运行的开源软件中的漏洞。几十年来，开源一直是技术的伟大成就之一——我们共同构建的软件，已经完全依赖它。今天，这些代码支撑着世界的关键基础设施和人们每天依赖的服务：银行、电信、公用事业等都运行在相同的开源库上。多年来，行业将开源融入技术堆栈。世界已经在其周围发生了变化。人工智能已经打破了攻击者和防御者之间的先前平衡，改变了软件的易用性和重用性的方程式。在一个主要开源项目中发现严重漏洞在过去可能需要专家花费几周时间，而现在只需几分钟，AI模型在一次扫描中可能返回多个漏洞。能够帮助加强我们软件的同样AI能力，在错误的手中，会将漏洞发现变成一个流水线。反过来，这已经加速了漏洞修复的周期，速度迅速超过了维护者的修复能力。这不是一个理论上的未来风险，而是我们负责的每一个系统的现状。今天，我们宣布一个解决这一关键开源软件问题的计划——Akrites是历史上最大的一次协调努力，旨在创建系统和部署工具，以利用社区的集体力量，使每个人更安全。我们与亚马逊云服务、Anthropic、Chainguard、思科、花旗、Endor Labs、爱立信、谷歌、IBM、摩根大通、微软、GitHub、NVIDIA、OpenAI、RapidFort、红帽、Rust基金会、Sonatype、沃达丰和Zscaler合作，寻找、修复并负责任地公开关键开源软件中的漏洞，并支持依赖于它的关键基础设施的安全性。世界上越来越大比例的技术和我们依赖的开源软件是由相同的组件构建的，携带相同的潜在缺陷，现在暴露在相同的加速发现之下。没有供应商的防线足够高，可以把这个问题留给别人。以往，安全响应和披露涉及一系列组织和团队，往往在处理相同的问题，有时发布相互矛盾的补丁或多个报告。在这个新的环境中，缺乏协调的行动只会恶化问题，浪费宝贵时间。当数十家公司独立扫描同一个库并各自提交报告时，我们让维护者被噪声淹没。每增加一个持有未修复漏洞的方，都提高了在修复之前漏洞泄露的几率，增加了我们所有人的风险。因此，我们明确表示：我们都依赖开源，我们将共同捍卫它。Akrites是我们承诺以不同的方式行动的表现，主动对抗维护者所面临的新现实。该方法提供了一个机密、可信的地方来协调漏洞发现、修复和披露，匹配或超过AI辅助攻击者的速度。一个共享的、专门的安全事件响应团队为维护者提供了一个单一、可预测的合作伙伴，而不是一百个不协调的报告。当Akrites在源头修复项目时，我们承诺支持下游的努力，以确保关键基础设施在其被利用之前得到保护。当修补程序发布给公众时，敌方能够利用AI迅速逆向工程潜在的漏洞，开发利用工具并发起攻击。因此，我们工作成功的标准将以补丁部署为衡量，而不是公开。我们将与关键基础设施的所有者和运营商、民间社会的努力以及政府合作，增加协调以实现这些目标。保密性是不可谈判的：一个在广泛部署的包中的未公开缺陷，实际上是一种武器，计划首先是为了防止泄露。修复程序将反馈到每个项目自己的家中，与维护者合作。Akrites参与者提供的工程资源和其他能力有助于这一努力。此外，当一个关键包没有人维护时，Akrites将作为最后的维护者，以便修复能够及时到达每个人。我们还将与政府努力保持一致，以便公共和私人防御者能够协调行动，而不是分散行动。Akrites参与者将贡献工程资源；致力于构建和发布修复程序；或者资助那些进行此工作的工程师。一些公司已经做出了巨大的贡献。现实是，集体上，我们需要做出更多的贡献。今天，下面签名者承诺提供真实的资源——工程人才、安全专长和资金——以...