Linux Foundation представила инициативу Akrites по повышению безопасности критически важного открытого софта

Linux Foundation объявила о создании инициативы Akrites по повышению безопасности критически важного открытого софта. Проект призвана скоординировать поиск и устранение уязвимостей в востребованных и популярных проектах до того, как ими смогут воспользоваться злоумышленники.

Akrites поддержали многие крупные IT-компании и некоммерческие организации: Amazon Web Services, Anthropic, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorgan Chase, Microsoft и GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler. Планируется, что участники проекта предоставят свои ресурсы — деньги, знания и специалистов — для создания общей единой команды реагирования на инциденты (SIRT). 

Эта команда будет находить новые уязвимости, проверять сообщения о них, оценивать опасность и наряду с разработчиками готовить исправления. Исправления будут возвращаться в исходные проекты на условиях их разработчиков. Если у какого-то важного пакета нет активных сопровождающих, Akrites возьмёт эту роль на себя. 

Информация об уязвимостях будут раскрывать одновременно с выходом обновлений в основных проектах, дистрибутивах и зависимых продуктах. Akrites также планирует тесно сотрудничать с госпрограммами кибербезопасности, чтобы частные и публичные структуры действовали согласованно.

Как подчёркивают в Linux Foundation, Akrites меняет существующую практику реагирования на инциденты: вместо разрозненных отчётов и конфликтующих патчей инициатива предлагает единый канал для координации. Инициатива призван уменьшить дублирование работы и ускорить доставку исправлений до пользователей.

Начальное финансирование для проекта предоставит фонд Alpha‑Omega при Linux Foundation. Akrites приглашает к участию другие организации, готовые внести инженерные ресурсы или финансовую поддержку.