Die Linux Foundation bündelt mit Akrites führende Tech-Konzerne zu einer gemeinsamen Verteidigung quelloffener Software. Der Anlass ist ein Kräfteverschiebung: KI findet Sicherheitslücken inzwischen in Minuten statt in Wochen.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenSicherheitslücken in quelloffener Software finden dauerte früher Wochen, heute erledigt eine KI das in Minuten. Genau auf diese Verschiebung antwortet die Linux Foundation mit der Initiative Akrites, einem koordinierten Branchenbündnis zur Absicherung kritischer Open-Source-Software. Für Unternehmen, deren Infrastruktur auf offenen Bibliotheken läuft, geht es dabei um die Verlässlichkeit der gesamten Lieferkette.
Das Wichtigste in Kürze
- Die Linux Foundation gründet Akrites als koordinierte Initiative zur Behebung und Offenlegung von Schwachstellen
- Ein gemeinsames Security Incident Response Team und ein standardisierter Offenlegungsprozess bilden den Kern
- Gründungsmitglieder sind unter anderem AWS, Google, Microsoft, Red Hat, Ericsson und Endor Labs
- Von den zuletzt gemeldeten Open-Source-Schwachstellen wurden nach Angaben von Endor Labs weniger als fünf Prozent gepatcht
Warum braucht es ein koordiniertes Bündnis?
Das Problem ist die Geschwindigkeit. Früher verlangte das Finden ernster Lücken vergleichbare Expertise von Angreifern und Verteidigern, doch heute scannt ein Frontier-Modell ein großes Projekt und legt Schwachstellen in Minuten offen. Sobald solche Fähigkeiten breit verfügbar sind, erhalten auch Angreifer ohne tiefe Expertise die nötigen Werkzeuge für anspruchsvolle Attacken.
Die bisherige Antwort war zersplittert. Sicherheitsreaktion und Offenlegung liefen über einen Flickenteppich aus Organisationen, die oft dieselben Probleme bearbeiteten und manchmal widersprüchliche Patches lieferten oder die Maintainer unter doppelten Meldungen begruben. Akrites bündelt das in einem geteilten Security Incident Response Team und einem standardisierten, vertraulichen Offenlegungsprozess, bei dem die Korrekturen auf den Bedingungen der Maintainer zurück ins jeweilige Projekt fließen.
Akrites ist die Eingeständnis, dass KI das Gleichgewicht zwischen Angriff und Verteidigung gekippt hat. Wenn dieselben Konzerne, die Open Source jahrelang nur genutzt haben, jetzt gemeinsam Geld und Talent in die Wartung stecken, ist das überfällig.
— Michael Dobler, Herausgeber Dr. Web
Was bedeutet das für deutsche Unternehmen?
Die Betroffenheit ist größer, als vielen bewusst ist. Banken, Krankenhäuser, Stromnetze, Telekommunikation und Behörden laufen auf denselben offenen Bibliotheken, die Akrites absichern will. Wer kritische Infrastruktur betreibt, profitiert von einer koordinierten Stelle, die Patches ausrollt, bevor verwundbare Systeme ins Visier geraten.
Ein nüchterner Blick gehört dazu. Teile der Open-Source-Gemeinschaft stehen dem Bündnis skeptisch gegenüber, weil dieselben Großkonzerne nun die Spielregeln der Wartung mitbestimmen. Entscheidend wird, ob die Mitglieder über etablierte Kanäle beitragen oder eigene Strukturen über die Projekte stülpen, und ob die versprochene Vertraulichkeit den Maintainern wirklich die Kontrolle lässt.
Für die Praxis lohnt sich, die eigene Software-Lieferkette gegen die Akrites-Prozesse zu prüfen, sobald diese anlaufen. Wer offene Komponenten einsetzt, sollte verfolgen, welche Projekte abgedeckt sind. Die Einzelheiten stehen in der Mitteilung der Linux Foundation. Wie KI inzwischen selbst Lücken aufspürt, zeigt unser Beitrag zu KI-gesteuerten Angriffen.
Mehr #OpenSource News
Mehr zu Software-Sicherheit
Mehr Newshunger?
