Linux Foundation近日宣布启动全新的开源安全项目Akrites,旨在建立面向全球开源软件生态的统一漏洞响应机制,通过跨行业协作提升关键开源项目的漏洞修复效率,并降低漏洞公开后被快速武器化利用的风险。该项目获得了包括Anthropic、AWS、Chainguard、Cisco、Google、IBM、Microsoft、GitHub、NVIDIA、OpenAI、Red Hat、Sonatype、Vodafone、Zscaler等二十余家科技企业和机构的支持。
Akrites的核心目标是建立一个共享的安全事件响应团队(Security Incident Response Team,SIRT)以及统一的协调漏洞披露(Coordinated Vulnerability Disclosure,CVD)流程,为开源项目维护者提供统一的漏洞接收、验证、修复和披露渠道,避免多个组织针对同一漏洞重复报告、重复修复甚至发布不一致补丁的问题,从而提升整个开源生态的漏洞响应效率。
Linux Foundation表示,随着生成式AI和自动化代码分析工具的发展,攻击者发现和利用开源漏洞的速度正在显著提升。一旦补丁公开发布,攻击者可以借助AI快速逆向分析漏洞成因,并在极短时间内开发利用代码。因此,Akrites希望将行业关注点从传统的"漏洞公开"转向"补丁部署",推动关键基础设施运营者在漏洞公开前完成修复部署,缩短攻击窗口。
与传统漏洞协调机制相比,Akrites特别强调"保密优先"原则。项目将在漏洞修复完成之前严格控制信息传播,降低漏洞提前泄露导致被恶意利用的风险。同时,所有补丁仍将回归各自开源项目的上游仓库,由项目维护者主导发布,尽可能保持现有开源治理模式不变。
值得关注的是,Akrites还提出了"最后维护者(Maintainer of Last Resort)"机制。当某些关键开源组件因缺乏活跃维护者而无法及时修复高危漏洞时,Akrites将临时承担维护职责,组织工程资源完成漏洞修复,确保关键软件包不会因无人维护而长期暴露于风险之中。这也是该项目区别于传统漏洞协调平台的重要特点之一。
项目启动资金主要来自Linux Foundation旗下专注于开源安全的Alpha-Omega基金,同时参与企业也将提供工程师、安全专家以及资金支持。Linux Foundation表示,希望未来吸引更多依赖关键开源软件的企业、政府机构以及基础设施运营单位加入,共同构建覆盖全球开源生态的漏洞协同响应体系。
业内人士认为,Akrites也是近期行业加强开源供应链安全协作的重要举措之一。就在数周前,由Chainguard牵头的Athena联盟同样提出希望在漏洞公开前协调修复关键开源软件。两项计划在目标上具有较高一致性,而Akrites则进一步以Linux Foundation为平台,试图建立更加开放、标准化和长期运行的行业协调机制。