IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La Fondation Linux lance l'initiative Akrites, qui vise à coordonner la divulgation et la correction des vulnérabilités des logiciels open source, alors que l'IA accélère la découverte de ces vulnérabilités

Le , par Anthony

268PARTAGES

6  0 
La Fondation Linux lance l'initiative Akrites, qui vise à coordonner la divulgation et la correction des vulnérabilités des logiciels open source, alors que l'IA accélère considérablement la découverte de ces vulnérabilités

Alors que l'intelligence artificielle (IA) accélère la détection des failles de sécurité, augmentant ainsi le risque d'une exploitation plus rapide, la Fondation Linux a lancé Akrites, une nouvelle initiative destinée à coordonner la divulgation et la correction des vulnérabilités au sein des projets open source. Soutenue par plusieurs grandes entreprises technologiques et organisations open source telles que Google, Anthropic ou l'OpenSSF, Akrites mettra en place un modèle de réponse coordonné ainsi qu'une équipe d'intervention en cas d'incident de sécurité, afin d'améliorer le déploiement des correctifs et la gestion des vulnérabilités avant leur divulgation publique.

La Fondation Linux (LF) est une organisation à but non lucratif créée en 2000 afin de soutenir le développement de Linux et les projets de logiciels libres. Elle a fusionné avec le Free Standards Group en 2007. Depuis, la fondation a évolué pour promouvoir des projets open source au-delà du système d'exploitation Linux, en tant que « fondation des fondations » qui héberge une grande variété de projets couvrant des domaines tels que le cloud, les réseaux, la blockchain et le matériel informatique.

La Fondation Linux, en collaboration avec une large coalition d'entreprises technologiques, d'institutions financières et d'organisations open source, lance l'initiative Akrites. Selon les organisateurs, l'IA a accéléré le rythme de découverte des vulnérabilités dans les logiciels open source à un point tel que le processus actuel de signalement et de correction des failles de sécurité n'est plus suffisant.


À l’occasion de ce lancement, les participants ont publié une lettre ouverte commune intitulée « Nous dépendons tous de l’open source. Nous le défendrons ensemble ». Ils y affirment que la sécurité des projets open source largement utilisés ne peut désormais être assurée que par une approche coordonnée.

Parmi les fondateurs figurent notamment Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft, GitHub, NVIDIA, OpenAI, Red Hat, Vodafone et JPMorgan Chase. Des organisations telles que l’OpenSSF, la CNCF, l’OpenInfra Foundation et la Rust Foundation participent également à cette initiative.

Coordonner la sécurité open source face à l'accélération des vulnérabilités liées à l'IA

Selon la Fondation Linux, l'open source constitue le fondement des systèmes dans des secteurs tels que la finance, la santé, l'énergie, les télécommunications, les transports et les services publics. Parallèlement, l'émergence de modèles d'IA avancés permet de détecter les vulnérabilités beaucoup plus rapidement qu'auparavant.

Alors qu’auparavant, les chercheurs en sécurité avaient besoin de plusieurs semaines pour détecter une vulnérabilité grave dans un grand projet open source, un modèle d’IA — selon les organisateurs de l’initiative — est désormais capable d’y parvenir en quelques minutes seulement. Cela permet non seulement de réduire le délai entre la découverte et l’exploitation de la faille, mais aussi d’abaisser la barrière technique pour les pirates cherchant à exploiter de telles vulnérabilités.

Avec Akrites, la Fondation Linux vise à éviter que des dizaines d’entreprises n’analysent indépendamment le même logiciel et n’inondent les équipes de maintenance de rapports distincts. Selon les initiateurs de cette initiative, cela entraîne une duplication des efforts, des correctifs contradictoires et des retards inutiles.

L'initiative met donc en place un point de coordination central et une équipe commune d'intervention en cas d'incident de sécurité (SIRT). Cette équipe est destinée à servir de point de contact unique pour les équipes de maintenance et à coordonner la gestion des vulnérabilités avant leur divulgation publique.

L'organisation insiste sur sa volonté de collaborer avec les développeurs d'origine des projets. Les mises à jour de sécurité doivent, dans la mesure du possible, être réintégrées dans le code source du projet d'origine. Lorsqu'un projet open source essentiel ne dispose plus de mainteneurs actifs, Akrites entend jouer temporairement le rôle de « mainteneur de dernier recours » afin de garantir que les mises à jour de sécurité continuent d'être mises à disposition.

Mettre l'accent sur le déploiement rapide de correctifs pour lutter contre les failles de sécurité exploitées par l'IA

Les initiateurs du projet souhaitent non seulement se concentrer sur le développement de correctifs, mais aussi sur leur mise en œuvre plus rapide. Dès qu’une mise à jour de sécurité est rendue publique, les pirates peuvent utiliser l’IA pour analyser rapidement la vulnérabilité sous-jacente et développer un code d’exploitation. C’est pourquoi Akrites souhaite collaborer plus étroitement avec les administrateurs d’infrastructures critiques afin de déployer les mises à jour de sécurité aussi rapidement que possible.

Le financement initial de cette initiative provient d’Alpha-Omega, un fonds de la Fondation Linux dédié à la sécurité des projets open source critiques. Par ailleurs, les organisations participantes apportent leur contribution sous forme de développeurs, de spécialistes de la sécurité et de ressources financières. La Fondation Linux invite également d’autres organisations à rejoindre Akrites.

L'annonce de l'initiative Akrites intervient alors que la Fondation Linux poursuit la structuration de nouveaux cadres de collaboration technologique. En mars 2026, l'organisation a annoncé le lancement de l'OCUDU Ecosystem Foundation, destinée à accélérer l'innovation open source dans le domaine de l'AI-RAN. Cette initiative vise à mettre en place un centre de collaboration dédié à la création, à la mise à l'échelle et au maintien des actifs techniques du projet OCUDU, ainsi qu'à leur exploitation, afin d'établir une plateforme de référence pour les réseaux d'accès radio (RAN), y compris les algorithmes et solutions basés sur l'IA.

Annonce de l'initiative Akrites par la Fondation Linux

Le 25 juin 2026, la Fondation Linux a annoncé sur son site le lancement d'une nouvelle initiative, Akrites, qui permet de coordonner la divulgation et la correction des vulnérabilités des logiciels open source. L'annonce est présentée ci-dessous :

« La Fondation Linux, organisation à but non lucratif qui favorise l’innovation à grande échelle grâce à l’open source, a annoncé aujourd’hui le lancement d’Akrites, une initiative sectorielle coordonnée visant à renforcer la sécurité des logiciels open source les plus critiques au monde à l’ère de la détection des vulnérabilités assistée par l’IA. Soutenue par l’engagement de ses membres fondateurs — Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft, GitHub et NVIDIA, OpenAI, RapidFort, Red Hat, la Rust Foundation, Sonatype, Vodafone et Zscaler, cette initiative rassemble de grandes entreprises technologiques, des laboratoires d’IA, des institutions financières et des éditeurs de solutions de sécurité autour d’une mission commune : coordonner la correction des vulnérabilités dans les projets open source largement utilisés avec les mainteneurs en amont, avant que ces vulnérabilités ne puissent être exploitées.

Les logiciels open source sont au cœur de pratiquement toutes les composantes de l’économie numérique moderne, du secteur bancaire à la santé, en passant par l’énergie, les transports, les télécommunications et les administrations publiques. Akrites facilite la coordination entre les acteurs du secteur afin de soutenir et de protéger les utilisateurs d’infrastructures critiques et les consommateurs de l'open source. Auparavant, la détection et la correction de failles graves dans les logiciels open source exigeaient un niveau d’expertise comparable tant de la part des attaquants que des défenseurs. Aujourd’hui, des modèles d’IA de pointe peuvent analyser un projet open source majeur et mettre en évidence ses vulnérabilités en quelques minutes. Une fois que ces capacités seront largement accessibles, les acteurs malveillants qui ne disposaient pas auparavant de l’expertise technique nécessaire pour mener des attaques sophistiquées disposeront des outils dont ils ont besoin pour le faire rapidement.

Pour marquer ce lancement, les signataires fondateurs ont publié une lettre ouverte commune adressée au secteur des technologies, intitulée « Nous dépendons tous de l’open source. Nous le défendrons ensemble ».

Par le passé, la réponse en matière de sécurité reposait sur un ensemble disparate d’organisations travaillant souvent de manière indépendante sur les mêmes problèmes, diffusant parfois des correctifs contradictoires ou submergeant les mainteneurs de signalements redondants. Akrites change ce modèle. Cette initiative offre un espace unique et fiable pour la coordination, la correction et la divulgation, avec une équipe SIRT commune qui sert de partenaire fiable aux mainteneurs, plutôt qu’un déluge de rapports non coordonnés. Akrites s’engage à collaborer avec les infrastructures critiques pour faciliter le déploiement des correctifs avant que les systèmes vulnérables ne puissent être ciblés.

La confidentialité est au cœur de cette initiative. Les corrections de bogues sont réintégrées dans le dépôt d’origine de chaque projet, selon les conditions fixées par les mainteneurs. Lorsqu’un paquet critique n’a pas de mainteneur actif, Akrites fera office de mainteneur de dernier recours afin que les corrections apportées à la dernière version parviennent à tous en temps utile. L’initiative assurera également la coordination avec les efforts menés par les pouvoirs publics, afin que les acteurs publics et privés agissent de concert.

Alpha-Omega, un fonds géré par la Fondation Linux, apportera un financement de démarrage pour soutenir Akrites. Les autres organisations qui apportent des ressources techniques ou un financement en faveur de la sécurité des logiciels open source critiques sont invitées à participer. Pour en savoir plus ou pour rejoindre l'initiative, rendez-vous sur https://akrites.org. »

Lettre ouverte adressée au secteur des technologies

Le texte intégral de la lettre ouverte adressée par les fondateurs de l'initiative Akrites au secteur des technologies est présenté ci-dessous :

« Depuis des décennies, l’open source est l’une des grandes réussites de la technologie : des logiciels que nous avons créés ensemble et dont nous sommes devenus totalement dépendants. Aujourd’hui, ce code est à la base des infrastructures et des services essentiels mondiaux dont les gens dépendent au quotidien : le secteur bancaire, les télécommunications, les services publics et bien d’autres encore fonctionnent grâce aux mêmes bibliothèques open source. Au fil des ans, le secteur a intégré l’open source dans l’ensemble de ses piles technologiques.

Mais le monde qui l’entoure a changé. L’intelligence artificielle a bouleversé l’équilibre qui existait auparavant entre attaquants et défenseurs, modifiant ainsi les enjeux liés à la facilité d’utilisation et à la réutilisation des logiciels. Auparavant, il fallait plusieurs semaines à un expert pour détecter une vulnérabilité grave dans un grand projet open source. Aujourd’hui, une machine y parvient en quelques minutes, et souvent, le modèle d’IA identifie plusieurs vulnérabilités en un seul passage. Cette même capacité d’IA qui peut contribuer à renforcer la sécurité de nos logiciels risque, entre de mauvaises mains, de transformer la découverte de vulnérabilités en un véritable flux continu. En conséquence, cela a déjà accéléré le cycle à un rythme qui dépasse rapidement la capacité des mainteneurs à corriger ces vulnérabilités. Il ne s’agit pas d’un risque futur théorique. C’est la réalité actuelle de chaque système dont nous sommes responsables.

Nous annonçons aujourd’hui un plan visant à remédier à ce problème dans les logiciels open source critiques : Akrites est la plus grande initiative coordonnée de l’histoire visant à créer des systèmes et à déployer des outils qui tirent parti de la force collective de la communauté pour renforcer la sécurité de tous. Nous sommes rejoints par Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, la Rust Foundation, Sonatype, Vodafone et Zscaler afin d’identifier, de corriger et de divulguer de manière responsable les vulnérabilités des logiciels open source critiques, et de renforcer la sécurité des infrastructures critiques qui en dépendent.

Une part importante et croissante des technologies et des logiciels open source mondiaux dont nous dépendons est construite à partir des mêmes composants, comporte les mêmes défauts latents et est désormais exposée à une détection de plus en plus rapide. Aucun fournisseur ne dispose de remparts suffisamment hauts pour faire de ce problème celui de quelqu’un d’autre.

Auparavant, la gestion des incidents de sécurité et la divulgation des failles impliquaient un ensemble disparate d’organisations et d’équipes, travaillant souvent sur les mêmes problèmes et publiant parfois des correctifs contradictoires ou des rapports multiples. Dans ce nouvel environnement, agir sans coordination ne fera qu’aggraver le problème et faire perdre un temps précieux.

Lorsque des dizaines d’entreprises analysent indépendamment la même bibliothèque et soumettent chacune un rapport, nous submergeons les mainteneurs sous un déluge d’informations. Chaque acteur supplémentaire détenant une vulnérabilité non corrigée augmente le risque qu’elle soit divulguée avant qu’un correctif ne soit disponible, ce qui accroît le risque pour nous tous. Nous l’affirmons donc clairement : nous dépendons tous de l’open source, et nous le défendrons tous ensemble.

Akrites incarne notre engagement à agir différemment et en amont, là où se trouvent les mainteneurs et où nous pouvons répondre de manière proactive à cette nouvelle réalité. Cette approche offre un espace unique, confidentiel et fiable pour coordonner la détection, la correction et la divulgation, en égalant, voire en surpassant, la rapidité des attaquants aidés par l’IA. Une équipe dédiée et partagée de réponse aux incidents de sécurité offre aux mainteneurs un partenaire unique et prévisible, au lieu d’une centaine de rapports disparates.

Alors qu’Akrites intervient en amont pour corriger les projets à la source, nous nous engageons à soutenir les efforts en aval visant à sécuriser les infrastructures critiques avant qu’elles ne puissent être exploitées. Lorsque des correctifs sont rendus publics, les adversaires sont capables d’utiliser l’IA pour procéder rapidement à une ingénierie inverse des vulnérabilités sous-jacentes, développer des exploits et lancer des attaques. Le succès de nos efforts se mesurera donc au déploiement des correctifs, et non à leur publication. Nous travaillerons en partenariat avec les propriétaires et les opérateurs d’infrastructures critiques, les initiatives de la société civile et les gouvernements, à mesure qu’ils renforcent leur coordination pour atteindre ces objectifs.

La confidentialité n’est pas négociable : une faille non divulguée dans un paquet largement déployé constitue, en effet, une arme, et le programme est conçu avant tout pour empêcher les fuites. Les correctifs sont réintégrés dans chaque projet, en collaboration avec les mainteneurs. Les ressources techniques et autres capacités fournies par les participants à Akrites contribuent à cet effort. De plus, lorsqu’un logiciel critique n’a plus de mainteneur, Akrites interviendra en tant que mainteneur de dernier recours afin qu’un correctif puisse tout de même parvenir à tous en temps voulu. Nous nous alignerons également sur les efforts du gouvernement afin que les acteurs publics et privés agissent de concert, plutôt que de manière disparate.

Les participants à Akrites apporteront des ressources d’ingénierie, travailleront à l’élaboration et à la diffusion des correctifs, ou financeront les ingénieurs qui s’en chargent. Certaines entreprises ont déjà apporté une contribution considérable. La réalité est que, collectivement, nous devons contribuer davantage.

Aujourd’hui, les signataires s’engagent à mobiliser des ressources concrètes — des compétences en ingénierie, une expertise en matière de sécurité et des moyens financiers — afin de renforcer la sécurité des logiciels que nous partageons. Nous avons bénéficié du travail remarquable accompli par les mainteneurs au fil des décennies. Dans le cadre de notre responsabilité et de notre engagement envers l’open source, nous allons relever ce défi ensemble, en tant que partenaires, afin d’assurer la sécurité de chacun d’entre nous.

Nous avons aujourd’hui l’occasion de prendre les devants face à la nouvelle réalité des risques de sécurité liés à l’open source, mais cette occasion ne durera pas éternellement. Ensemble, nous pouvons faire face à ces nouveaux risques tout en laissant derrière nous un héritage de soutien et d’engagement envers l’open source qui garantira la sécurité des systèmes technologiques mondiaux pour les années à venir.

Corrigeons ensemble les failles du patrimoine commun. »

Témoignages de soutien à l’initiative Akrites

« Les modèles d’IA de pointe ont permis aux responsables de la sécurité de détecter et de corriger les vulnérabilités des logiciels open source à une vitesse et à une échelle jusqu’alors inimaginables. Il s’agit là d’une opportunité considérable pour les responsables de la sécurité, et Akrites nous permet de la saisir ensemble. Les mainteneurs méritent un partenariat coordonné, et non un déluge de rapports. AWS s’engage à sécuriser les projets dont dépendent nos clients et à construire cette infrastructure partagée aux côtés de la communauté. » – Matt Wilson, vice-président et ingénieur émérite, Amazon Web Services

« Les projets open source constituent, dans leur ensemble, le fondement d’une grande partie d’Internet, et le modèle actuel de divulgation coordonnée n’est plus à la hauteur de la rapidité avec laquelle l’IA est désormais capable de détecter les vulnérabilités. Pour prendre les devants, le secteur doit coordonner ses efforts en matière de découverte des failles et mettre en place des correctifs en amont, avant que celles-ci ne soient divulguées et exploitées. Des initiatives telles qu’Akrites favorisent ce niveau de coordination à l’échelle et à la vitesse qu’exige la situation actuelle. » – Jason Clinton, directeur adjoint de la sécurité de l’information, Anthropic

« La solidité de la chaîne d’approvisionnement logicielle dépend entièrement de la qualité de ses sources en amont, et nous constatons à quel point cette couche est en réalité fragile. À mesure que l’IA détectera davantage de vulnérabilités, le secteur s’empressera de les corriger. Sans coordination, ces correctifs se disperseront entre différents correctifs et branches, et les mainteneurs seront débordés, injoignables ou n’auront pas touché à un projet depuis des années. Akrites offre au secteur un moyen coordonné de corriger les vulnérabilités en amont avant qu’elles ne soient exploitées, tout en laissant le contrôle aux mainteneurs. Il s’agit désormais de s’assurer qu’il y ait toujours quelqu’un à l’autre bout pour les repérer. » – Dan Lorenc, PDG et cofondateur de Chainguard

« Autrefois, il fallait des semaines à un expert pour détecter une vulnérabilité grave dans un logiciel open source. Aujourd’hui, une machine y parvient en quelques minutes. Lorsque les mainteneurs perdent cette course, tout le monde en pâtit. Aucune entreprise, aucun mainteneur et aucun gouvernement ne peut combler cette lacune à lui seul. C’est pourquoi Cisco met à la disposition d’Akrites son infrastructure réseau, son expertise en matière de sécurité et ses décennies de contribution à l’open source : car les défenseurs ne peuvent pas se permettre de perdre, et on ne peut pas laisser les mainteneurs se débrouiller seuls. » – Vijoy Pandey, vice-président senior et directeur général d’Outshift by Cisco

« Les progrès réalisés dans le domaine des modèles d’IA ont considérablement réduit les efforts nécessaires pour détecter et exploiter les vulnérabilités. En partenariat avec la Fondation Linux et le projet Akrites, Citi s’engage à soutenir l’écosystème open source en contribuant à la mise en place d’un cadre permettant d’identifier et de corriger les vulnérabilités, ainsi que de partager les correctifs proposés. Axée sur la sécurisation des infrastructures critiques, cette initiative constitue un élément clé de nos efforts visant à aider le secteur à atténuer les menaces émergentes. » – Al Tarasiuk, directeur de la sécurité des systèmes d’information, Citi

« Depuis des années, nous sommes convaincus que la difficulté ne réside pas dans la détection des vulnérabilités, mais bien dans leur correction. L’intelligence artificielle a rendu cet écart impossible à ignorer. Sur les milliers de vulnérabilités open source validées qui ont été mises au jour ces derniers mois, moins de 5 % ont fait l’objet d’un correctif. Endor Labs est membre fondateur d’Akrites, car cette initiative est conçue pour apporter la réponse dont nous avons besoin aujourd’hui : une correction coordonnée en amont, gérée en toute confidentialité, sous le contrôle des mainteneurs, afin qu’un correctif fiable parvienne à tous ceux qui dépendent de ce code. » – Varun Badhwar, PDG et cofondateur d’Endor Labs

« La découverte des vulnérabilités s'effectue désormais à un rythme qui submerge tant les mainteneurs des projets open source que les utilisateurs qui s'appuient sur eux. Le manque de coordination dans le signalement, la correction et la divulgation de ces vulnérabilités crée des frictions, mettant ainsi en péril l'ensemble de l'écosystème. Aucune organisation ne peut résoudre ce problème à elle seule. C'est pourquoi Ericsson rejoint Akrites en tant que membre « Premier », apportant des moyens financiers et des compétences à un effort commun visant à garantir la sécurité et la pérennité des logiciels open source. » – Mikko Karikytö, directeur de la sécurité des produits chez Ericsson

« Alors que l’IA accélère à la fois l’ampleur et la rapidité de la détection des vulnérabilités, la protection de l’écosystème open source nécessite une réponse tout aussi rapide et coordonnée. En rejoignant Akrites, nous associons l’engagement de longue date de Google en faveur de la sécurité open source à une expertise à l’échelle du secteur afin de garantir que les vulnérabilités soient détectées, corrigées et divulguées de manière responsable avant qu’elles ne puissent être exploitées. Protéger les logiciels qui font fonctionner les infrastructures critiques mondiales est essentiel pour préserver la confiance dans notre avenir numérique. » – Heather Adkins, vice-présidente de l’ingénierie de la sécurité chez Google

« L’open source est au cœur des systèmes sur lesquels nous comptons au quotidien : il fait fonctionner tout, des banques aux hôpitaux, en passant par les réseaux électriques et les plateformes d’IA. Alors que les avancées de pointe en matière d’IA accélèrent la découverte des vulnérabilités, le risque est devenu trop important pour qu’une seule organisation puisse y faire face seule. C’est pourquoi une approche écosystémique est essentielle : elle rassemble la communauté, les fournisseurs de technologies et les entreprises afin de garantir que les vulnérabilités soient corrigées à la vitesse requise aujourd’hui. » – Jamie Thomas, responsable de la sécurité d’entreprise chez IBM

« L’IA a considérablement réduit le délai entre la découverte d’une vulnérabilité et son exploitation, le ramenant quasi en temps réel, ce qui signifie que nous devons également réduire le délai entre la correction et le déploiement. C’est pourquoi, chez JPMorgan Chase, nous contribuons à mettre en place cette initiative visant à mesurer le succès du déploiement des correctifs, et non celui de leur publication. Nous soutenons un mécanisme qui permet aux opérateurs en aval des infrastructures critiques de s’assurer que les correctifs parviennent aux systèmes réels avant que les attaquants ne puissent transformer les divulgations en exploits. Et en amont, nous devons aux mainteneurs un signal unique et fiable : des vulnérabilités confirmées, des correctifs proposés et rigoureusement testés, ainsi qu’un partenaire prévisible en qui ils peuvent avoir confiance, plutôt qu’un déluge de rapports redondants et contradictoires. » – Pat Opet, directeur de la sécurité de l’information, JPMorganChase

« OpenSSF et Alpha-Omega ont démontré ce qu’il est possible de réaliser lorsque le secteur s’unit pour renforcer la sécurité de l’open source. Fort de notre expérience en tant que cofondateurs de ces organisations, nous avons créé Akrites afin de répondre au tournant décisif que représente la détection et la défense contre les vulnérabilités alimentées par l’IA. En tant que membres fondateurs, Microsoft et GitHub apporteront leur expertise, leurs ressources et leurs technologies d’IA pour aider à identifier et à corriger de manière responsable les vulnérabilités au sein de l’écosystème des logiciels open source dont dépendent les clients et les organisations. » – Mark Russinovich, directeur technique d’Azure, directeur adjoint de la sécurité de l’information et Technical Fellow chez Microsoft

« La transparence et la collaboration ouverte sont les principes qui permettent à la communauté de la cybersécurité d’assurer la sécurité des infrastructures depuis des décennies. À l’ère de l’IA, ces fondements open source n’ont jamais été aussi essentiels. L’IA open source est le moteur de l’innovation américaine — et l’un de nos outils les plus puissants pour déployer l’IA avec la sécurité, la confiance et la transparence nécessaires pour alimenter cette révolution industrielle. » – David Reber, directeur de la sécurité, NVIDIA

« Le monde fonctionne grâce à l’open source, et assurer sa sécurité est pour nous, chez OpenAI, un engagement à long terme. À travers Patch the Planet, nous mettons nos modèles et nos ressources au service d’initiatives menées par des experts qui aident les mainteneurs à valider les problèmes et à mettre en place des correctifs. Nous sommes fiers de participer à Akrites afin de renforcer la coordination au sein du secteur et de contribuer à la protection des logiciels dont nous dépendons tous. » – Clint Gibler, responsable de la cybersécurité, OpenAI

« L’open source ne fonctionne que si nous veillons à ce que le travail reste ouvert, en amont, et accessible à tous ceux qui en dépendent. La réponse à la crise des vulnérabilités liée à l’IA ne consiste pas à fragmenter l’écosystème derrière des barrières propriétaires ni à transformer les fondations communautaires en produits fermés. Il faut une remédiation coordonnée qui préserve l’intégrité du logiciel d’origine, collabore avec les mainteneurs et restitue les correctifs au bien commun. Nous sommes fiers de soutenir l’initiative Akrites, qui correspond à notre conviction de renforcer l’écosystème open source de l’intérieur, d’aider les organisations à réduire les risques sans modifications inutiles du code, et de rendre les logiciels que nous partageons tous plus sûrs pour chacun. » – Mehran Farimani, PDG, RapidFort

« L’open source est le fondement de l’innovation logicielle moderne. La défense de ce fondement nécessite une réponse coordonnée de la communauté en amont, capable de faire face aux menaces à grande échelle. La participation de Red Hat à Akrites vise à renforcer cet écosystème en amont. En collaborant ouvertement pour identifier et corriger les vulnérabilités à la source, nous contribuons à bâtir une chaîne d’approvisionnement logicielle plus résiliente pour l’ensemble du secteur. » – Chris Wright, directeur technique et vice-président senior de l’ingénierie mondiale chez Red Hat

« Depuis trop longtemps, la bonne volonté et le sens des responsabilités des mainteneurs en amont sont considérés comme acquis dans les processus de réponse aux incidents de sécurité. Akrites promet une coordination efficace avec ces mainteneurs, un soutien financier et une assistance à temps plein pour identifier, corriger et divulguer les failles de sécurité de manière responsable, ainsi qu’un engagement sincère de la part des entreprises les plus influentes des secteurs de la technologie et de la finance pour résoudre ce problème. La Fondation Rust se réjouit de collaborer avec Akrites afin de développer une sécurité adaptée à l’avenir. » – Rebecca Rumbul, directrice générale et PDG de la Rust Foundation

« Sonatype observe chaque jour le graphe des dépendances du monde moderne. Un seul composant vulnérable peut se retrouver au cœur des systèmes de milliers d’organisations, ce qui signifie qu’un seul correctif en amont peut réduire le risque dans tout un écosystème. L’IA peut certes faciliter considérablement la détection des vulnérabilités, mais elle ne rend pas automatique la correction coordonnée. Akrites est important car il offre au secteur un moyen confidentiel de mener ce travail en collaboration, en amont, avant que la même faille ne se traduise par des milliers d’incidents distincts. » – Brian Fox, cofondateur et directeur technique de Sonatype, et responsable de Maven Central

« Compte tenu de la capacité croissante de l’IA à accélérer la détection des vulnérabilités, le moment est venu de nous unir et d’investir des ressources pour protéger les logiciels open source critiques dont dépendent les télécommunications et de nombreux autres secteurs. En tant que membre fondateur, Vodafone s’est engagé à apporter à la fois son expertise et son soutien financier à Akrites. Cette initiative commune permettra de mettre en place une approche coordonnée à l’échelle du secteur afin d’identifier et de corriger de manière responsable les vulnérabilités des logiciels qui font fonctionner les systèmes dont dépend le monde entier. » – Paul Hopkins, directeur de la stratégie et de l’architecture cyber et informatique, Vodafone

« L’IA a bouleversé la vitesse des attaques et des défenses. Les vulnérabilités peuvent désormais être détectées à la vitesse des machines, ce qui signifie que les défenseurs doivent agir tout aussi rapidement. Akrites contribue à transformer cette vitesse en un avantage pour l’écosystème open source en identifiant les problèmes plus tôt, en coordonnant les mesures correctives de manière responsable et en diffusant les correctifs en amont. Zscaler est fier d’en faire partie. » – Deepen Desai, vice-président exécutif et directeur de la sécurité chez Zscaler

Sources : Fondation Linux, Lettre ouverte adressée au secteur technologique

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous cette initiative de la Fondation Linux crédible ou pertinente ?

Voir aussi :

La Fondation Linux annonce DNS-AID, un nouveau projet open source conçu pour permettre aux agents IA de communiquer entre eux et de se découvrir de manière standardisée à l'aide du DNS

La Fondation Linux lance le projet "Protocole Agent2Agent" afin de permettre une communication sécurisée et intelligente entre les agents d'IA

La Fondation Linux lance une division européenne pour encourager la collaboration et l'innovation dans le domaine des logiciels open source en Europe
Vous avez lu gratuitement 1 566 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !