Linux Foundation запустила Akrites — отраслевую инициативу для защиты критичного open source-кода. Проект создаёт общий Security Incident Response Team, или SIRT, который будет помогать компаниям, исследователям и мейнтейнерам координировать работу с уязвимостями: принимать отчёты, проверять их, объединять дубли, готовить исправления, договариваться об окне раскрытия и доводить патчи до upstream-проектов.
Запуск поддержали крупные игроки из технологий, финансов, телекоммуникаций и open source-экосистемы: Anthropic, AWS, Chainguard, Cisco, Citi, Endor Labs, Ericsson, Google, IBM, JPMorganChase, Microsoft и GitHub, NVIDIA, OpenAI, RapidFort, Red Hat, Rust Foundation, Sonatype, Vodafone и Zscaler. Первичное финансирование даёт Alpha-Omega — фонд Linux Foundation, который занимается безопасностью open source-проектов.
Главная причина запуска — сдвиг, который принёс ИИ. Поиск серьёзных уязвимостей раньше мог занимать недели работы опытного исследователя. Теперь ИИ-инструменты способны быстро просматривать популярные библиотеки, находить подозрительные места и генерировать отчёты пачками. Для защитников это шанс быстрее закрывать баги. Для атакующих — способ быстрее находить и эксплуатировать слабые места.
Akrites не заменяет мейнтейнеров и не забирает у проектов контроль над кодом. Его задача — убрать хаос вокруг критичных уязвимостей. Akrites предлагает одну точку входа. Находка попадает в общий SIRT. Команда проверяет, воспроизводится ли проблема, насколько она опасна, нет ли дублей, кто должен чинить, какие проекты затронуты и когда можно раскрывать детали публично.
Дальше начинается координация: мейнтейнеры и инженеры готовят исправление, тестируют его, держат материалы в закрытом контуре, а затем выпускают патч в исходном проекте. Публичное раскрытие должно происходить синхронно, когда исправление уже готово, а не когда уязвимость только попала в отчёт.
Akrites строится вокруг закрытой координации. Материалы по критичным уязвимостям должны обрабатываться по TLP 2.0 — это Traffic Light Protocol, система маркировки чувствительной информации. Уровень TLP:RED означает максимально ограниченный круг доступа: только тем, кому информация нужна для работы с конкретным случаем.
Проект обещает защищённую инфраструктуру: изолированные среды для анализа, рабочие виртуальные машины для аналитиков, строгий контроль доступа, многофакторную аутентификацию, мониторинг и аудит. Идея в том, чтобы отчёты, proof-of-concept, патчи и детали эксплуатации не гуляли по почтам и чатам.
В рабочем процессе Akrites также планирует использовать стандарты и инструменты, которые уже знакомы ИБ-командам: CVE для идентификаторов уязвимостей, CWE для классов ошибок, CVSS для оценки тяжести, EPSS для вероятности эксплуатации, SSVC для приоритизации решений, VEX для статуса затронутости компонентов, VINCE для координации раскрытия.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
Читайте также
Kali Linux 2026.2 вышла с девятью новыми инструментами и большим апдейтом NetHunter
Вход через Apple ID и Google отключают с 6 июля: российские приложения переводят пользователей на локальную авторизацию