Linux Foundationが、オープンソースソフトウェアの脆弱性対応を見直す新イニシアチブ「Archytes」を立ち上げた。SecurityWeekが26日、報じた。
Archytesは、オープンソースソフトウェアで脆弱性が見つかった際、直ちに情報を公開するのではなく、まず修正パッチを作成・配布したうえで開示する枠組みだ。Linux FoundationのAlpha-Omega Directed Fundが初期資金を拠出する。
参加組織は、Anthropic、AWS、Chainguard、Cisco、Citi、Endor Labs、Ericsson、Google、IBM、JPMorgan Chase、Microsoft、GitHub、NVIDIA、OpenAI、RapidFort、Red Hat、Rust Foundation、Sonatype、Vodafone、Zscaler。
この取り組みの中核は、脆弱性の公表前にパッチを配布する点にある。背景には、AIを活用したサイバー攻撃の増加で、脆弱性の公表から実際の悪用までの時間が急速に短くなっていることがある。
Linux Foundationは、「パッチが公開されると、攻撃者はAIを使って迅速にリバースエンジニアリングを行い、エクスプロイトを開発して攻撃を実行する」と説明。そのうえで、「Archytesの成果は、報告そのものではなく、パッチ配布によって測られる」としている。
著者について
Chi-gyu Hwang
delight@d-today.co.kr