Linux Foundation start Akrites voor opensourcebeveiliging
De Linux Foundation en verschillende techbedrijven hebben Akrites opgericht om de vertrouwelijke afhandeling van kwetsbaarheden in opensourcesoftware te centraliseren. Het initiatief moet de beveiliging van kritieke opensourceprojecten versterken nu AI het opsporen van kwetsbaarheden aanzienlijk versnelt.
Lees verder na de advertentie
Tot de oprichters behoren onder meer Amazon Web Services, Google, Microsoft, OpenAI, NVIDIA, Red Hat, IBM, Cisco, Anthropic en GitHub, aangevuld met beveiligingsbedrijven, financiële instellingen en de Rust Foundation.
AI verkort de tijd tussen ontdekking en misbruik van kwetsbaarheden
Volgens de Linux Foundation verkort generatieve AI de tijd die nodig is om kwetsbaarheden in opensourcesoftware te vinden aanzienlijk. Waar het opsporen van ernstige beveiligingslekken voorheen specialistische kennis en langdurige analyse vereiste, kunnen AI-modellen tegenwoordig grote codebases in korte tijd op potentiële zwakke plekken doorzoeken. Daardoor neemt ook de tijd tussen ontdekking en mogelijke exploitatie af.
Akrites moet daarop inspelen met een gezamenlijke aanpak voor de vertrouwelijke afhandeling van kwetsbaarheden. Het initiatief centraliseert de coördinatie, zodat bedrijven niet langer onafhankelijk dezelfde kwetsbaarheden melden of afzonderlijk patches ontwikkelen. Een gezamenlijk Security Incident Response Team (SIRT) en een gestandaardiseerd proces voor Coordinated Vulnerability Disclosure (CVD) zorgen ervoor dat bevestigde kwetsbaarheden samen met de upstream-maintainers worden verholpen voordat technische details openbaar worden gemaakt.
Tip!
Slimme IP-camera’s met live toezicht en haarscherpe beveiliging!
Samenwerking met upstream-maintainers
Een belangrijk uitgangspunt is de samenwerking met de ontwikkelaars van de betrokken opensourceprojecten. Volgens de Linux Foundation worden oplossingen in principe teruggeleverd aan de oorspronkelijke projecten. Maintainers behouden de regie over hun software en worden niet belast met meerdere of tegenstrijdige beveiligingsmeldingen.
Voor pakketten die niet langer actief worden onderhouden, ziet Akrites bovendien een rol als ‘maintainer of last resort’. In dergelijke gevallen zal het initiatief correcties voor actuele versies beschikbaar stellen, zodat kritieke beveiligingslekken ook kunnen worden gedicht wanneer de oorspronkelijke ontwikkelaars niet langer beschikbaar zijn.
Aansluiting op bestaande beveiligingsstandaarden
Technisch sluit Akrites aan op bestaande standaarden en werkwijzen binnen de IT-beveiligingssector. Daarbij wordt onder meer gebruikgemaakt van CVE voor de identificatie van kwetsbaarheden, CVSS voor de beoordeling van de ernst ervan en CWE voor de classificatie van kwetsbaarheidstypen. Daarmee moet het initiatief naadloos aansluiten op de bestaande processen van softwareleveranciers, beveiligingsonderzoekers en beheerders van kritieke infrastructuur.
Bijblijven met de laatste security-ontwikkelingen?
Financiering via Alpha-Omega
De opstartfinanciering wordt verzorgd door Alpha-Omega, een subsidieprogramma van de Linux Foundation dat zich richt op de beveiliging van opensourcesoftware. Andere bedrijven en organisaties kunnen zich aansluiten door ontwikkelcapaciteit of financiële middelen beschikbaar te stellen. Gelijktijdig met de lancering heeft Akrites een open brief gepubliceerd waarin de oprichtende leden oproepen tot een gezamenlijke versterking van de beveiliging van de opensource-infrastructuur.
Tot slot
Met Akrites kiest de Linux Foundation voor een gecoördineerde aanpak die de versnipperde afhandeling van beveiligingslekken moet terugdringen. Of het initiatief daarin slaagt, zal vooral afhangen van de bereidheid van softwareleveranciers, beveiligingsonderzoekers en opensourceprojecten om structureel samen te werken en kwetsbaarheden snel en vertrouwelijk af te handelen.
Tip
Download het e-book en krijg direct inzicht in de stappen die jouw organisatie moet zetten.
Praat mee