Ein neues Bündnis aus Tech-Giganten will die wachsende Zahl von Sicherheitslücken in offener Software in den Griff bekommen. Die Initiative kommt nicht zu früh.
Eine Koalition aus führenden Technologie- und Finanzkonzernen hat am Montag unter dem Dach der Linux Foundation die Sicherheitsinitiative Akrites ins Leben gerufen. Gründungsmitglieder wie AWS, Google, IBM, Microsoft, NVIDIA und OpenAI wollen damit die steigende Flut von Sicherheitslücken in Open-Source-Software eindämmen – ein Problem, das durch den Einsatz Künstlicher Intelligenz bei der Fehlersuche noch verschärft wird.
Gemeinsame Abwehr gegen Sicherheitslücken
Akrites soll die Branche besser vernetzen: Ein gemeinsames Security Incident Response Team (SIRT) und ein koordinierter Prozess zur Offenlegung von Schwachstellen (CVD) stehen im Zentrum der Initiative. Auch Finanzriesen wie JPMorganChase, Citigroup und Vodafone sowie Cisco gehören zu den Gründungsmitgliedern. Die Anfangsinvestition kommt von Alpha Omega.
IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit: Bedrohungen abwenden und Ihr Unternehmen langfristig schützen
Eine Kernaufgabe von Akrites: als „Maintainer der letzten Instanz“ für Open-Source-Projekte einzuspringen, deren ursprüngliche Entwickler sie aufgegeben haben – die aber weiterhin kritisch für die globale Software-Lieferkette sind. Der Bedarf ist enorm. Laut Daten von Endor Labs wurden weniger als fünf Prozent der kürzlich bestätigten Schwachstellen tatsächlich behoben. Allein das Projekt Glasswing entdeckte im Juni über 23.000 Sicherheitslücken.
Project Lightwell wächst rasant
Parallel dazu bauen IBM und Red Hat ihr Project Lightwell massiv aus. Die im Mai mit fünf Milliarden Euro und 20.000 Ingenieuren gestartete Initiative entkoppelt Sicherheitsupdates vom regulären Software-Upgrade-Zyklus – durch sogenannte Backport-Patches.
Deloitte ist nun als Integrationspartner eingestiegen und stellt spezialisierte Ingenieure für stark regulierte Branchen bereit. Und Palo Alto Networks hat seine virtuelle Patch-Technologie in Project Lightwell integriert. Das schafft eine zweistufige Verteidigung: Netzwerk-Patches blockieren Angriffe in Echtzeit, während Lightwell die eigentliche Software bereinigt.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenloses E-Book: Cyber Security Awareness Trends
KI entdeckt Hunderte Firefox-Lücken
Wie dringend die neuen Initiativen sind, zeigt ein aktueller Fall: Mozilla und Anthropic meldeten am Montag, dass ihr KI-Tool Mythos 271 Sicherheitslücken im Firefox-Browser aufgespürt hat. Die gute Nachricht: KI hilft Verteidigern, Schwachstellen schneller zu finden. Die schlechte: Auch Angreifer nutzen sie.
Ende Juni veröffentlichte ein anonymer Forscher das Repository Exploitarium – mit über 130 funktionsfähigen Angriffscodes für verschiedene Projekte. Darunter kritische Zero-Day-Lücken wie eine Code-Ausführung in libssh2 ohne Authentifizierung und ein Umgehen der Zugangskontrolle in Gitea. Der Forscher setzte KI-gestütztes Fuzzing ein. Einige dieser Lücken werden bereits aktiv ausgenutzt.
Linux-Kernel verabschiedet sich von unsicherer Funktion
Die Dringlichkeit des Themen ist in der Community angekommen. In einem Webinar am Montag betonten Experten der Eclipse Foundation und der Open Source Initiative: Sicherheitsupdates haben inzwischen die Lizenzkomplexität als größte Sorge abgelöst.
Der Linux-Kernel reagiert ebenfalls: Die seit Jahrzehnten als unsicher geltende Funktion strncpy() wird abgeschafft. Ersetzt wird sie durch strscpy(), das Pufferüberläufe verhindert. Der Umstieg wird Jahre dauern – neue Compiler-Warnungen sollen Entwickler zur sicheren Alternative führen.
