Zuletzt aktualisiert am

Die Linux Foundation startet „Akrites“, um die Reaktion auf Open-Source-Sicherheitslücken zu verbessern

AWS, Anthropic, Google, Microsoft/GitHub, Red Hat, NVIDIA und weitere Unternehmen unterstützen eine neue Initiative zur Koordinierung von Sicherheitsmaßnahmen im Bereich Open-Source-Software.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Angesichts der Flut von Sicherheitslücken, die in den letzten Monaten in Open-Source-Projekten entdeckt wurden, hat die Linux Foundation in Zusammenarbeit mit führenden Unternehmen aus den Bereichen Technologie, KI, Finanzen und Cybersicherheit „Akrites“ angekündigt – ein neues Programm zur Verbesserung der Meldung, Behebung und Offenlegung kritischer Sicherheitslücken in Open-Source-Software.

Das Projekt startet zu einer Zeit, in der KI-gestützte Tools die Entdeckung von Sicherheitslücken beschleunigen. Dies hilft Sicherheitsverantwortlichen zwar dabei, Probleme früher zu erkennen, führt aber auch zu einer Flut von Meldungen, von denen viele doppelt vorhanden, unvollständig, unkoordiniert oder schwer umgehend zu überprüfen sind.

Als Reaktion darauf richtet „Akrites“ ein gemeinsames Security Incident Response Team sowie einen standardisierten, koordinierten Prozess zur Offenlegung von Sicherheitslücken für wichtige Open-Source-Projekte ein. Ziel ist es, sicherzustellen, dass schwerwiegende Probleme verantwortungsbewusst behandelt, bereits im Vorfeld behoben und auf koordinierte Weise offengelegt werden.

Laut der Linux Foundation wird die Initiative von einer langen Liste von Gründungsmitgliedern unterstützt, darunter Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft, GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, die Rust Foundation, Sonatype, Vodafone und Zscaler.

Das Projekt befasst sich mit der Sorge, dass die Erkennung von Sicherheitslücken die traditionellen Open-Source-Reaktionsabläufe überholt. LLMs und andere KI-Tools ermöglichen es Forschern, Code zu scannen und Berichte in großem Umfang zu erstellen. Viele FOSS-Projekte werden jedoch von kleinen Teams oder einzelnen Freiwilligen betreut, denen möglicherweise die Ressourcen fehlen, um einen Anstieg an Sicherheitsmeldungen zu bewältigen.

Dies führt zu einem häufigen Engpass in der Open-Source-Sicherheit, da die Erkennung nur der erste Schritt ist. Anschließend müssen die Probleme validiert, hinsichtlich ihres Schweregrads bewertet, behoben, mit den Anbietern koordiniert, bei Bedarf mit CVEs versehen und offengelegt werden, ohne Angreifern einen Vorteil zu verschaffen.

Und genau hier kommt Akrites ins Spiel, das als vertrauenswürdige Koordinationsschicht dienen soll. Es wird den Grundsatz „Vertraulichkeit geht vor“ anwenden und etablierte Branchenstandards und -tools wie CVE, TLP, CWE, CVSS, EPSS, SSVC und VEX nutzen.

Darüber hinaus kann das Projekt auch als „Maintainer der letzten Instanz“ für kritische Pakete dienen, für die es keine aktiven Betreuer gibt. Dies ist von großer Bedeutung, da aufgegebene oder unzureichend gepflegte Abhängigkeiten eine ständige Herausforderung in der Open-Source-Lieferkette darstellen.

Erwähnenswert ist zudem, dass der Start des Projekts mit wachsenden Bedenken hinsichtlich fortschrittlicher KI-Modelle und Cybersicherheit zusammenfällt. Die jüngsten Einschränkungen für die Modelle „Fable 5“ und „Mythos 5“ von Anthropic unterstreichen die Befürchtung, dass Pionier-KI offensive Sicherheitsaktivitäten wie das Aufspüren von Schwachstellen und die Entwicklung von Exploits beschleunigen könnte.

Akrites stellt eine defensive Antwort darauf dar: Da KI die Schwachstellenerkennung beschleunigt, benötigt die Open-Source-Community eine verbesserte Koordination, um Sicherheitslücken zu beheben, bevor sie ausgenutzt werden.

Letztendlich wird der Erfolg des Projekts mehr von einer effektiven Zusammenarbeit mit den Betreuern als von seinen Gründungsmitgliedern abhängen. Wenn es doppelte Meldungen reduziert, die Koordination von Patches verbessert und Upstream-Korrekturen beschleunigt, hat es das Potenzial, bestehende Open-Source-Sicherheitsinitiativen wie OpenSSF und Alpha-Omega zu ergänzen. Ob dies geschehen wird, wird sich erst mit der Zeit zeigen.

Weitere Einzelheiten finden Sie in der Ankündigung der Linux Foundation.

 

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen

Comments