De Linux Foundation lanceert samen met een brede coalitie van technologiebedrijven, financiële instellingen en open source-organisaties het initiatief Akrites. Volgens de initiatiefnemers heeft AI het tempo waarin kwetsbaarheden in open source-software worden ontdekt zodanig verhoogd dat het bestaande proces voor het melden en verhelpen van beveiligingslekken niet langer toereikend is.
Ter gelegenheid van de lancering publiceerden de deelnemers een gezamenlijke open brief onder de titel We All Depend on Open Source. We Will Defend It Together. Daarin stellen zij dat de beveiliging van veelgebruikte open source-projecten alleen nog met een gecoördineerde aanpak op peil kan worden gehouden.
Tot de oprichters behoren onder meer Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft, GitHub, NVIDIA, OpenAI, Red Hat, Vodafone en JPMorganChase. Ook organisaties als de OpenSSF, CNCF, OpenInfra Foundation en Rust Foundation nemen deel aan het initiatief.
AI verandert het dreigingsbeeld
Volgens de Linux Foundation vormt open source de basis van systemen in onder meer de financiële sector, de zorg, energievoorziening, telecom, transport en overheidsdiensten. Tegelijkertijd zorgt de opkomst van geavanceerde AI-modellen ervoor dat kwetsbaarheden veel sneller kunnen worden opgespoord dan voorheen.
Waar beveiligingsonderzoekers vroeger weken nodig konden hebben om een ernstig lek in een belangrijk open source-project te vinden, kan een AI-model dat volgens de initiatiefnemers inmiddels in enkele minuten. Daardoor wordt niet alleen de tijd tussen ontdekking en misbruik korter, maar daalt ook de technische drempel voor aanvallers die dergelijke kwetsbaarheden willen uitbuiten.
Met Akrites wil de Linux Foundation voorkomen dat tientallen bedrijven onafhankelijk dezelfde software analyseren en onderhoudsteams overspoelen met afzonderlijke meldingen. Dat leidt volgens de initiatiefnemers tot dubbel werk, tegenstrijdige patches en onnodige vertraging.
Het initiatief richt daarom een centraal coördinatiepunt en een gezamenlijk Security Incident Response Team (SIRT) op. Dat moet fungeren als vast aanspreekpunt voor onderhoudsteams en de afhandeling van kwetsbaarheden coördineren voordat deze openbaar worden gemaakt.
De organisatie zegt nadrukkelijk te willen samenwerken met de oorspronkelijke ontwikkelaars van projecten. Beveiligingsupdates moeten zoveel mogelijk terugvloeien naar de broncode van het oorspronkelijke project. Wanneer een essentieel open source-project geen actieve onderhouders meer heeft, wil Akrites tijdelijk optreden als ‘maintainer of last resort’ om ervoor te zorgen dat beveiligingsupdates toch beschikbaar komen.
Focus op snelle uitrol
De initiatiefnemers willen zich niet alleen richten op het ontwikkelen van patches, maar ook op een snellere implementatie ervan. Zodra een beveiligingsupdate openbaar wordt, kunnen aanvallers AI inzetten om de onderliggende kwetsbaarheid snel te analyseren en exploitcode te ontwikkelen. Daarom wil Akrites nauwer samenwerken met beheerders van kritieke infrastructuur om beveiligingsupdates zo snel mogelijk uit te rollen.
De eerste financiering van het initiatief komt van Alpha-Omega, een fonds van de Linux Foundation dat zich richt op de beveiliging van kritieke open source-projecten. Daarnaast leveren de deelnemende organisaties ontwikkelaars, beveiligingsspecialisten en financiële middelen. De Linux Foundation nodigt ook andere organisaties uit om zich bij Akrites aan te sluiten.