När AI-verktyg gör det lättare att hitta säkerhetsbrister i öppen källkod ökar också trycket på de utvecklare som måste hantera rapporterna. Därför lanserar Linux Foundation initiativet Akrites, som ska samordna rapportering, åtgärder och offentliggörande av allvarliga sårbarheter i viktiga öppna projekt.
Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare
Öppen källkod är en grundpelare i dagens digitala samhälle. Den används i allt från mobiltelefoner och molntjänster till banker, myndigheter, sjukhus och artificiell intelligens. Men när så många system bygger på samma öppna komponenter blir säkerheten också en gemensam angelägenhet.
Linux Foundation har därför lanserat Akrites, ett nytt initiativ som ska förbättra hur allvarliga säkerhetsbrister i öppen källkod rapporteras, hanteras och åtgärdas.
Bakom satsningen finns flera stora aktörer inom teknik, AI, finans och cybersäkerhet. Bland de medverkande finns bland annat Amazon Web Services, Anthropic, Google, Microsoft, GitHub, Red Hat, NVIDIA, OpenAI, Cisco, IBM, JPMorganChase, Rust Foundation och flera andra organisationer.
AI hittar fler sårbarheter än tidigare
En viktig bakgrund till Akrites är att AI-verktyg numera kan hjälpa säkerhetsforskare att hitta sårbarheter i kod mycket snabbare än förr. Det är i grunden positivt. Ju tidigare en brist upptäcks, desto snabbare kan den rättas till.
Men den nya utvecklingen skapar också problem.
Många projekt inom fri och öppen källkod drivs av små grupper eller enskilda frivilliga utvecklare. När de plötsligt får stora mängder säkerhetsrapporter kan det bli svårt att hinna kontrollera vilka rapporter som är riktiga, vilka som är dubbletter och vilka som faktiskt är allvarliga.
Det räcker nämligen inte att bara hitta en sårbarhet. Den måste också bekräftas, bedömas, prioriteras, rättas i koden och ibland samordnas med flera leverantörer innan informationen blir offentlig. Om informationen sprids för tidigt kan angripare utnyttja bristen innan användarna hunnit uppdatera sina system.
En gemensam säkerhetsgrupp
Akrites är tänkt att fungera som ett samordnande lager mellan säkerhetsforskare, utvecklare, företag och organisationer. Initiativet ska bland annat skapa ett gemensamt Security Incident Response Team, alltså en grupp som kan hjälpa till vid allvarliga säkerhetsincidenter.
Projektet ska också använda en standardiserad process för så kallad Coordinated Vulnerability Disclosure. Det betyder att information om sårbarheter hanteras på ett ansvarsfullt och samordnat sätt, så att utvecklare får möjlighet att rätta felet innan detaljerna sprids brett.
Akrites ska arbeta med etablerade säkerhetsstandarder och verktyg, exempelvis CVE, CWE, CVSS, EPSS, SSVC och VEX. Dessa används för att beskriva, klassificera och prioritera säkerhetsbrister.
Kan hjälpa övergivna projekt
En särskilt intressant del av Akrites är att initiativet även kan fungera som en slags “sista utväg” för viktiga öppna projekt som saknar aktiva underhållare.
Det är ett välkänt problem inom mjukvaruvärlden att många program och bibliotek fortsätter att användas långt efter att de ursprungliga utvecklarna slutat arbeta med dem. Trots det kan dessa komponenter finnas kvar i tusentals andra system.
Om en allvarlig säkerhetsbrist upptäcks i ett sådant projekt kan det vara oklart vem som egentligen ska ta ansvar för att rätta felet. Där kan Akrites få en viktig roll.
Upptäckt är bara första steget
Säkerhet inom öppen källkod handlar inte bara om att hitta fel. Det handlar lika mycket om att ha fungerande rutiner för vad som händer efteråt.
En sårbarhet måste analyseras. Hur allvarlig är den? Vilka system påverkas? Finns det redan ett angrepp i omlopp? Behöver ett CVE-nummer tilldelas? Ska informationen delas med leverantörer innan den blir offentlig?
Det är just denna kedja som Akrites vill stärka.
Om projektet fungerar som tänkt kan det minska mängden dubbla rapporter, förbättra samarbetet mellan utvecklare och företag samt göra att säkerhetsfixar når användarna snabbare.
Ett viktigt steg för hela ekosystemet
Öppen källkod bygger på samarbete. Men när mjukvaran används i samhällskritiska system krävs också tydliga strukturer för säkerhet och ansvar.
Akrites kan därför bli ett viktigt komplement till andra säkerhetsinitiativ inom öppen källkod, till exempel OpenSSF och Alpha-Omega. Men framgången kommer inte bara att avgöras av vilka stora företag som står bakom projektet.
Det avgörande blir om Akrites lyckas samarbeta med de människor som faktiskt underhåller den öppna koden. Om initiativet underlättar deras arbete, minskar belastningen och leder till snabbare säkerhetsuppdateringar kan det bli ett betydelsefullt steg framåt för hela den öppna mjukvaruvärlden.
I en tid där AI både kan hjälpa till att hitta säkerhetsbrister och samtidigt öka mängden rapporter är behovet av samordning större än någonsin. Akrites är ett försök att skapa ordning i den nya verkligheten.
Teknisk faktaruta: Akrites
Namn: Akrites
Organisation: Linux Foundation
Syfte: Förbättra hantering, samordning och offentliggörande av säkerhetsbrister i öppen källkod.
Fokusområde: Kritiska sårbarheter i viktiga open source-projekt.
Bakgrund: AI-verktyg gör det möjligt att hitta fler sårbarheter snabbare, men många projekt saknar resurser för att hantera stora mängder säkerhetsrapporter.
Arbetssätt: Samordnad sårbarhetsrapportering, verifiering, prioritering, åtgärd och ansvarsfull publicering.
Standarder och verktyg: CVE, CWE, CVSS, EPSS, SSVC, VEX och TLP.
Viktiga aktörer: AWS, Anthropic, Google, Microsoft, GitHub, Red Hat, NVIDIA, OpenAI, IBM, Cisco, Rust Foundation och flera andra.
Betydelse: Akrites kan minska dubbla rapporter, förbättra samarbetet med utvecklare och göra att säkerhetsfixar når användare snabbare.
