Az elmúlt hónapokban nyílt forráskódú projektekben felfedezett sebezhetőségek áradata után a Linux Foundation, vezető technológiai, AI, pénzügyi és kiberbiztonsági cégekkel együttműködve bejelentette az Akrites programot. A cél, hogy javítsák a kritikus sebezhetőségek jelentésének, elhárításának és nyilvánosságra hozatalának folyamatát a nyílt forráskódú szoftverekben.
A projekt indulása egybeesik azzal, hogy az AI-alapú eszközök felgyorsítják a sebezhetőségek felderítését. Ez segít ugyan a védelmi oldalon, mert a problémák korábban kiderülnek, de közben jelentésáradatot okoz, amelyben sok a duplikált, hiányos, nem összehangolt vagy nehezen, lassan ellenőrizhető bejelentés.
Válaszként minderre az Akrites közös Security Incident Response Teamet hoz létre, és egységesített Coordinated Vulnerability Disclosure folyamatot vezet be a kulcsfontosságú nyílt forráskódú projektek számára. A cél, hogy a súlyos problémákat felelősen kezeljék, a forrásprojektekben oldják meg, és összehangolt módon hozzák nyilvánosságra.
A Linux Foundation szerint a kezdeményezés mögött hosszú alapító tagság áll, köztük az Amazon Web Services, az Anthropic, a Chainguard, a Cisco, a Citi, az Endor Labs, az Ericsson, a Google, az IBM, a JPMorganChase, a Microsoft, GitHub, az NVIDIA, az OpenAI, a RapidFort, a Red Hat, a Rust Foundation, a Sonatype, a Vodafone és a Zscaler.
A projekt arra a problémára reagál, hogy a felfedezés üteme meghaladja a hagyományos nyílt forráskódú válaszfolyamatok tempóját. Az LLM-ek és más AI-eszközök lehetővé teszik, hogy a kutatók nagy tömegben vizsgálják a kódot és készítsenek jelentéseket. Sok FOSS projektet azonban kis csapatok vagy egyéni önkéntesek tartanak karban, akiknek nincs elég erőforrásuk a hirtelen megugró biztonsági jelentések kezelésére.
Így alakul ki egy általános szűk keresztmetszet a nyílt forráskódú biztonságban, mert a felfedezés csak az első lépés. A problémákat ezután érvényesíteni kell, meg kell állapítani a súlyosságukat, javítani kell őket, egyeztetni kell a gyártókkal, szükség esetén CVE-azonosítót kell rendelni hozzájuk, és úgy kell nyilvánosságra hozni őket, hogy ne adjanak előnyt a támadóknak.

Itt lép be az Akrites, amely egy tRustelt koordinációs réteget kíván nyújtani. Titkosság-központú elveket követ, és a már bevált iparági szabványokra és eszközökre támaszkodik, például a CVE, TLP, CWE, CVSS, EPSS, SSVC és VEX rendszerekre.
A projekt emellett „végső karbantartóként” is működhet azoknál a kritikus csomagoknál, amelyeknek nincs aktív karbantartójuk. Ez különösen fontos, mert az elhagyott vagy alig karbantartott függőségek folyamatos kihívást jelentenek a nyílt forráskódú ellátási láncban.
Érdemes megjegyezni, hogy a projekt indulása egybeesik a fejlett AI modellekkel és a kiberbiztonsággal kapcsolatos növekvő aggodalmakkal. Az Anthropic Fable 5 és Mythos 5 modelljeire vonatkozó friss korlátozások rávilágítanak arra a félelemre, hogy a legfejlettebb AI felgyorsíthatja a támadó jellegű biztonsági tevékenységeket, például a sebezhetőségek felderítését és a kihasználások fejlesztését.
Az Akrites védekező válaszként jelenik meg: ahogy az AI felgyorsítja a hibák felismerését, a nyílt forráskódú közösségnek jobb koordinációra van szüksége ahhoz, hogy a biztonsági hibákat még a kihasználásuk előtt kezelni tudja.
A projekt sikere végső soron azon múlik, mennyire tud hatékonyan együttműködni a karbantartókkal, nem pedig az alapító tagok listáján. Ha csökkenti a duplikált jelentéseket, javítja a javítócsomagok összehangolását és felgyorsítja az upstream javításokat, akkor jól kiegészítheti a már létező nyílt forráskódú biztonsági kezdeményezéseket, például az OpenSSF és az Alpha-Omega projekteket. Hogy ez valóban így lesz-e, majd kiderül.
További részletekért olvasd el a Linux Foundation bejelentését.

