• Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare

    När AI-verktyg gör det lättare att hitta säkerhetsbrister i öppen källkod ökar också trycket på de utvecklare som måste hantera rapporterna. Därför lanserar Linux Foundation initiativet Akrites, som ska samordna rapportering, åtgärder och offentliggörande av allvarliga sårbarheter i viktiga öppna projekt.

    Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare

    Öppen källkod är en grundpelare i dagens digitala samhälle. Den används i allt från mobiltelefoner och molntjänster till banker, myndigheter, sjukhus och artificiell intelligens. Men när så många system bygger på samma öppna komponenter blir säkerheten också en gemensam angelägenhet.

    Linux Foundation har därför lanserat Akrites, ett nytt initiativ som ska förbättra hur allvarliga säkerhetsbrister i öppen källkod rapporteras, hanteras och åtgärdas.

    Bakom satsningen finns flera stora aktörer inom teknik, AI, finans och cybersäkerhet. Bland de medverkande finns bland annat Amazon Web Services, Anthropic, Google, Microsoft, GitHub, Red Hat, NVIDIA, OpenAI, Cisco, IBM, JPMorganChase, Rust Foundation och flera andra organisationer.

    AI hittar fler sårbarheter än tidigare

    En viktig bakgrund till Akrites är att AI-verktyg numera kan hjälpa säkerhetsforskare att hitta sårbarheter i kod mycket snabbare än förr. Det är i grunden positivt. Ju tidigare en brist upptäcks, desto snabbare kan den rättas till.

    Men den nya utvecklingen skapar också problem.

    Många projekt inom fri och öppen källkod drivs av små grupper eller enskilda frivilliga utvecklare. När de plötsligt får stora mängder säkerhetsrapporter kan det bli svårt att hinna kontrollera vilka rapporter som är riktiga, vilka som är dubbletter och vilka som faktiskt är allvarliga.

    Det räcker nämligen inte att bara hitta en sårbarhet. Den måste också bekräftas, bedömas, prioriteras, rättas i koden och ibland samordnas med flera leverantörer innan informationen blir offentlig. Om informationen sprids för tidigt kan angripare utnyttja bristen innan användarna hunnit uppdatera sina system.

    En gemensam säkerhetsgrupp

    Akrites är tänkt att fungera som ett samordnande lager mellan säkerhetsforskare, utvecklare, företag och organisationer. Initiativet ska bland annat skapa ett gemensamt Security Incident Response Team, alltså en grupp som kan hjälpa till vid allvarliga säkerhetsincidenter.

    Projektet ska också använda en standardiserad process för så kallad Coordinated Vulnerability Disclosure. Det betyder att information om sårbarheter hanteras på ett ansvarsfullt och samordnat sätt, så att utvecklare får möjlighet att rätta felet innan detaljerna sprids brett.

    Akrites ska arbeta med etablerade säkerhetsstandarder och verktyg, exempelvis CVE, CWE, CVSS, EPSS, SSVC och VEX. Dessa används för att beskriva, klassificera och prioritera säkerhetsbrister.

    Kan hjälpa övergivna projekt

    En särskilt intressant del av Akrites är att initiativet även kan fungera som en slags “sista utväg” för viktiga öppna projekt som saknar aktiva underhållare.

    Det är ett välkänt problem inom mjukvaruvärlden att många program och bibliotek fortsätter att användas långt efter att de ursprungliga utvecklarna slutat arbeta med dem. Trots det kan dessa komponenter finnas kvar i tusentals andra system.

    Om en allvarlig säkerhetsbrist upptäcks i ett sådant projekt kan det vara oklart vem som egentligen ska ta ansvar för att rätta felet. Där kan Akrites få en viktig roll.

    Upptäckt är bara första steget

    Säkerhet inom öppen källkod handlar inte bara om att hitta fel. Det handlar lika mycket om att ha fungerande rutiner för vad som händer efteråt.

    En sårbarhet måste analyseras. Hur allvarlig är den? Vilka system påverkas? Finns det redan ett angrepp i omlopp? Behöver ett CVE-nummer tilldelas? Ska informationen delas med leverantörer innan den blir offentlig?

    Det är just denna kedja som Akrites vill stärka.

    Om projektet fungerar som tänkt kan det minska mängden dubbla rapporter, förbättra samarbetet mellan utvecklare och företag samt göra att säkerhetsfixar når användarna snabbare.

    Ett viktigt steg för hela ekosystemet

    Öppen källkod bygger på samarbete. Men när mjukvaran används i samhällskritiska system krävs också tydliga strukturer för säkerhet och ansvar.

    Akrites kan därför bli ett viktigt komplement till andra säkerhetsinitiativ inom öppen källkod, till exempel OpenSSF och Alpha-Omega. Men framgången kommer inte bara att avgöras av vilka stora företag som står bakom projektet.

    Det avgörande blir om Akrites lyckas samarbeta med de människor som faktiskt underhåller den öppna koden. Om initiativet underlättar deras arbete, minskar belastningen och leder till snabbare säkerhetsuppdateringar kan det bli ett betydelsefullt steg framåt för hela den öppna mjukvaruvärlden.

    I en tid där AI både kan hjälpa till att hitta säkerhetsbrister och samtidigt öka mängden rapporter är behovet av samordning större än någonsin. Akrites är ett försök att skapa ordning i den nya verkligheten.

    https://www.linuxfoundation.org/press/linux-foundation-and-industry-leaders-launch-akrites-to-defend-critical-open-source-software-against-ai-enabled-cyber-threats

    Teknisk faktaruta: Akrites

    Namn: Akrites

    Organisation: Linux Foundation

    Syfte: Förbättra hantering, samordning och offentliggörande av säkerhetsbrister i öppen källkod.

    Fokusområde: Kritiska sårbarheter i viktiga open source-projekt.

    Bakgrund: AI-verktyg gör det möjligt att hitta fler sårbarheter snabbare, men många projekt saknar resurser för att hantera stora mängder säkerhetsrapporter.

    Arbetssätt: Samordnad sårbarhetsrapportering, verifiering, prioritering, åtgärd och ansvarsfull publicering.

    Standarder och verktyg: CVE, CWE, CVSS, EPSS, SSVC, VEX och TLP.

    Viktiga aktörer: AWS, Anthropic, Google, Microsoft, GitHub, Red Hat, NVIDIA, OpenAI, IBM, Cisco, Rust Foundation och flera andra.

    Betydelse: Akrites kan minska dubbla rapporter, förbättra samarbetet med utvecklare och göra att säkerhetsfixar når användare snabbare.

  • X.Org lever vidare – och får nya säkerhetsfixar 2026

    X.Org må vara en veteran i Linuxvärlden, men tekniken lever fortfarande vidare i kulisserna. Nu har projektet täppt till fem nya säkerhetsbrister, vilket visar att den gamla grafikstacken ännu spelar en viktig roll, inte minst genom XWayland i moderna Wayland-baserade system.

    Trots att mycket av utvecklingen på Linux-skrivbordet i dag kretsar kring Wayland är X.Org ännu inte historia. Tvärtom visar de senaste säkerhetsuppdateringarna att den gamla grafikstacken fortfarande underhålls, åtminstone när det gäller att täppa till allvarliga sårbarheter.

    I den nya utgåvan av X.Org Server 21.1.22 och XWayland 24.1.10 har utvecklarna rättat fem nyupptäckta säkerhetsbrister. Det handlar om flera typer av minnesfel, bland annat integer underflow, läsningar utanför tillåtna minnesområden, use-after-free och buffertöverskridning. Sådana fel är särskilt viktiga att åtgärda eftersom de i värsta fall kan leda till krascher, instabilitet eller att skadlig kod kan utnyttja systemet.

    Det som gör nyheten extra intressant är att X.Org ofta beskrivs som en gammal teknik på väg bort. På många moderna Linuxsystem är det numera Wayland som står i centrum. Ändå fortsätter X.Org att spela en viktig roll, framför allt genom XWayland, som fungerar som ett kompatibilitetslager för äldre X11-program. Det betyder att även användare som i praktiken kör Wayland fortfarande kan påverkas av sårbarheter i kod som har sitt ursprung i X.Org-världen.

    De fem säkerhetsbristerna som nu har täppts till visar också något större om dagens Linuxekosystem: gamla system försvinner sällan över en natt. I stället lever de kvar som underliggande komponenter, bibliotek eller kompatibilitetslager långt efter att en ny teknik tagit över rampljuset. X.Org må inte längre vara framtiden, men det är fortfarande en del av nutiden.

    Utöver säkerhetsfixarna innehåller den nya versionen också ett antal stabilitets- och kvalitetsförbättringar. Flera utvecklare har bidragit med rättningar som förbättrar felhantering, minneshantering, byggsystem och drivrutinsstöd. Det handlar alltså inte bara om akuta säkerhetsproblem, utan också om det löpande underhåll som krävs för att hålla gammal, komplex kod användbar.

    Sammantaget visar uppdateringen att X.Org fortfarande hålls vid liv, inte genom nya stora funktioner utan genom nödvändigt underhåll. Det säger mycket om hur teknikhistoria fungerar i praktiken. Även när något anses vara på väg ut kan det fortsätta vara avgörande i många år, särskilt när annan modern teknik fortfarande lutar sig mot det för bakåtkompatibilitet.

    Att X.Org får säkerhetsfixar även 2026 är därför inte bara en teknisk detalj. Det är också en påminnelse om att digital infrastruktur ofta är byggd i lager, där även äldre delar måste skyddas och underhållas. Framtiden må heta Wayland, men X.Org är ännu inte helt borta från scenen.

    https://lists.x.org/archives/xorg-announce/2026-April/003678.html

    FAKTARUTA // X.ORG 2026

    Versioner: X.Org Server 21.1.22, XWayland 24.1.10

    Nya säkerhetsfixar: 5

    CVE: 33999, 34000, 34001, 34002, 34003

    Problemtyper: minnesfel, bounds-fel, use-after-free, buffertöverskridning

    Betydelse: påverkar inte bara rena X.Org-system utan även Wayland-system som använder XWayland

    Läget: X.Org utvecklas inte längre med fokus på nya funktioner, men hålls vid liv genom säkerhets- och stabilitetsuppdateringar



Etikett: säkerhetsbrister

  • Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare

    När AI-verktyg gör det lättare att hitta säkerhetsbrister i öppen källkod ökar också trycket på de utvecklare som måste hantera rapporterna. Därför lanserar Linux Foundation initiativet Akrites, som ska samordna rapportering, åtgärder och offentliggörande av allvarliga sårbarheter i viktiga öppna projekt. Akrites ska hjälpa öppen källkod att hantera säkerhetshot snabbare Öppen källkod är en grundpelare…

  • X.Org lever vidare – och får nya säkerhetsfixar 2026

    X.Org må vara en veteran i Linuxvärlden, men tekniken lever fortfarande vidare i kulisserna. Nu har projektet täppt till fem nya säkerhetsbrister, vilket visar att den gamla grafikstacken ännu spelar en viktig roll, inte minst genom XWayland i moderna Wayland-baserade system. Trots att mycket av utvecklingen på Linux-skrivbordet i dag kretsar kring Wayland är X.Org…