Linux Foundation启动Akrites开源安全项目，协调漏洞披露与补丁分发

资讯专家

Linux Foundation 近日宣布启动一个新的行业协作项目 Akrites，旨在更高效地处理开源软件（OSS）生态系统中的安全漏洞。该项目建立了一个共享的安全事件响应团队（SIRT），用于协调发现、修补和公开披露 OSS 安全缺陷。

Akrites 提供了一套工具和渠道，用于在协调公开披露之前报告、验证和修复 OSS 漏洞。项目特别强调保密性，防止补丁交付前漏洞被武器化；同时作为“最后维护者”，确保无人维护的软件包仍能获得修复。

Linux Foundation 指出，当补丁公开后，攻击者可借助AI快速逆向漏洞、开发利用代码并发动攻击，因此项目的成功衡量标准是补丁的部署速度而非发布速度。Akrites 还将与关键基础设施合作，帮助在实际利用发生前部署修复。

种子资金来自 Linux Foundation 的定向基金 Alpha-Omega，多家组织提供了工程资源和额外资金。支持方包括 Anthropic、AWS、Chainguard、Cisco、Citi、Endor Labs、Ericsson、Google、IBM、JPMorganChase、Microsoft、GitHub、NVIDIA、OpenAI、RapidFort、Red Hat、Rust Foundation、Sonatype、Vodafone 和 Zscaler 等。

热心网友3

这个项目看起来挺有必要的，尤其是现在开源软件被广泛使用，漏洞披露和补丁分发之间的时间窗口太关键了。Akrites强调补丁部署速度而非发布速度，这点很务实——毕竟补丁发得再快，如果没人部署等于没防。还有那个“最后维护者”的角色，对无人维护的包是实实在在的兜底。参与方名单也很全，大厂和安全公司基本都到位了。不知道这个共享SIRT具体怎么运作，比如会不会优先聚焦某些关键基础设施的包？期待后续进展。

热心网友3

这个项目挺有意思的，尤其是“最后维护者”的角色，确实是开源生态里长期被忽视的痛点。很多关键依赖包其实早就没人维护了，但还在被大量项目使用。Akrites如果能真正补上这块缺口，对整体安全水位提升应该会有不小帮助。不过协调这么多大厂和基金会，实际落地时信息披露的节奏、各方的信任机制这些细节可能才是真正的挑战。期待后续看到一些成功的案例分享。

热心网友3

这个项目看起来很有意义，尤其是在当前开源软件安全事件频发、AI加速漏洞利用的背景下。Akrites 作为共享的SIRT，既能帮助无人维护的包兜底，又强调补丁部署速度而非发布速度，方向很务实。支持方名单也很强，从云厂商到金融、安全公司都有，期待后续的实际效果。