应对不断变化的安全格局的协调行动

Linux Foundation 推出了 Akrites,这是一项新的行业计划,旨在强化在广泛使用的开源软件中发现、验证和修复安全漏洞的方式。该举措汇聚了大约 20 家科技公司、AI 实验室和金融机构,围绕一个简单前提展开:软件漏洞发现的经济格局已经发生变化,防御方需要更有组织的应对方式,才能在攻击者获得更大优势之前采取行动。

根据公告,Akrites 的设立源于这样一个现实:现代 AI 系统如今可以在几分钟内审查大型代码库,而过去这往往需要数周时间。这种速度至关重要。漏洞发现曾经在攻防双方都需要投入大量专业知识和时间,因而形成了一种相对平衡的局面。Akrites 从这样一种判断出发:这种平衡正在发生变化。如果先进的代码分析能力变得广泛可用,技术水平较低的攻击者就可能获得工具,以更快地定位并利用严重弱点,而开源生态却未必能以同样速度修补它们。

这一新计划旨在通过取代 Linux Foundation 所描述的碎片化、重复化安全响应模式来填补这一缺口。与其让许多公司各自扫描相同的软件包、提交相互重叠的报告,并向维护者发送彼此冲突的补丁,Akrites 提出了一套带有单一协调层的共享流程。

参与者

公告中列出的创始成员包括 Amazon Web Services、Anthropic、Cisco、Citi、Google、IBM、JPMorganChase、Microsoft、NVIDIA、OpenAI、Red Hat、Rust Foundation、Vodafone 和 Zscaler。这样的成员构成意义重大,因为它涵盖了开源软件的一些最大使用者、数家正在构建前沿 AI 系统的公司,以及面临软件供应链风险的主要机构。

该组织的组成也表明,如今人们对这一问题的认识有多么广泛。开源安全不再被视为单纯的维护者问题,或是后台合规事务。它已成为云服务提供商、银行、企业软件厂商、AI 开发者和基础设施公司的一项战略性关切,而这些主体都依赖共享软件组件。

Akrites 被定位为应对这种共享依赖关系的实用机制。其目标不仅是发现更多漏洞,而是建立一个系统,帮助真正的维护者处理可信报告,而不至于被低质量或重复性的发现淹没。

共享事件响应团队

Akrites 的核心是一个共享的安全事件响应团队,简称 SIRT。它的职责是作为开源项目维护者的单一联络点,而不是迫使他们处理来自多个组织的并行联系洪流。该团队预计会审查收到的漏洞报告,去除重复项,并协调修复工作。

这种结构针对的是软件安全中一个日益突出的运营问题:更多扫描并不一定带来更好的结果。如果许多组织独立发现同一个问题,维护者最终可能把时间花在重复提交的分流和筛查上,而不是修复最重要的问题。Akrites 旨在减少这些噪音,把注意力集中到已验证、可执行的漏洞上。

该计划还将采用标准化的保密披露流程,通常称为协调漏洞披露。实际上,这意味着漏洞可以在公开技术细节之前以私密方式报告和处理,从而降低已知弱点在发现与修补之间的窗口期被利用的风险。

当维护者缺位时会发生什么

公告中一个值得注意的部分,是 Akrites 针对被放弃或维护不足项目的计划。开源生态中存在许多软件包,即使原始维护者已经没有足够的时间、资金或组织支持,它们仍然被广泛使用。在这种情况下,即便漏洞已经确认,也可能长期悬而未决,因为没有明确的人负责生成并发布修复方案。

Akrites 表示,对于被放弃的项目,它将自行提供所需补丁。这一承诺意义重大,因为它把该计划从协调层面推进到了必要时的直接修复层面。它也反映了软件供应链中的一个更严峻事实:关键基础设施往往依赖于那些并不具备其重要性所暗示的人力或机构支持的组件。

如果 Akrites 能够有效缩短在生态系统这些被忽视部分中,从漏洞发现到补丁可用之间的延迟,那么它就可能帮助填补开源安全中最顽固的薄弱环节之一。

为何时机重要

公告中所描述的紧迫性并非抽象概念。文中引用的 Endor Labs 首席执行官 Varun Badhwar 表示,在最近几个月确认的数千个开源漏洞中,不到 5% 已经得到修补。即便没有更多背景信息,这一数字也足以说明 Akrites 试图应对的修复积压规模。

AI 因素让问题更加尖锐。如果由模型辅助的分析显著提高了发现漏洞的速度,那么除非分流和修补效率也同步提升,否则积压情况可能会进一步恶化。Akrites 本质上是在尝试将开源安全的响应环节工业化,以便在发现工具进一步加速之前跟上节奏。

这并不意味着 AI 只被视为威胁。隐含地看,这项计划也承认,给防御方带来压力的同一技术转变,也可以通过共享流程、汇集专业能力和更好的协调来应对。Akrites 与其说是否定 AI 时代的安全工具,不如说是在努力确保人力和组织层面的修复能力能够跟得上。

对集体防御能否扩展的考验

Akrites 的意义最终取决于执行。集中报告、筛除重复项、协调保密披露,以及为被放弃的项目提供补丁,这些都是对更嘈杂、更快速变化的漏洞环境的合理回应。真正的难点在于维持与维护者之间的信任、优先处理正确的问题,并证明一个跨行业机构能够以足够快的速度发挥作用。

即便如此,这一计划依然引人注目,因为它把开源安全视为一个集体防御问题,而不是一系列孤立事件。这是一个有分量的转变。最依赖共享软件的公司正在承认,面对 AI 可能降低高影响攻击门槛的现实,碎片化报告和重复劳动已经不够用了。

如果 Akrites 取得成功,它留下的遗产可能不在于发现了多少漏洞,而在于它是否能帮助开源世界用更少的噪音、更少的延迟和更少的漏洞,来应对严重缺陷。

本文基于 The Decoder 的报道。阅读原文

Originally published on the-decoder.com