Az IBM és a Red Hat bejelentette a Project Lightwell-t, egy 5 milliárd dolláros kezdeményezést, amelynek célja a nyílt forráskódú szoftverek biztonságának megteremtése a vállalati infrastruktúrák, felhőplatformok és AI rendszerek területén.

Az IBM a projektet egy nyílt forráskódú szoftverbiztonsági központként írja le, amely AI-alapú sebezhetőség-elemzést integrál egy globális, több mint 20 000 IBM és Red Hat mérnökből álló csapattal. A cél a sebezhetőségek azonosítása, érvényesítése, javítása és a javítások koordinálása a nyílt forráskódú ellátási láncokban.

„A Project Lightwell egy nyílt forráskódú szoftverbiztonsági központot hoz létre, amely egy globális mérnöki csapattal kombinálva képes azonosítani és javítani a sebezhetőségeket nagy léptékben. A központ biztonsági koordinációs rétegként fog működni, fejlett AI képességeket használva a javítások érvényesítésére és tesztelésére egy példa nélküli mennyiségű nyílt forráskód esetében.”

A projekt a vállalatokat célozza meg, nem pedig a nyílt forráskódú közösséget. Az IBM kereskedelmi előfizetések révén kínálja a szolgáltatást, lehetővé téve a szervezetek számára, hogy az érvényesített biztonsági javítócsomagokat integrálják szoftverellátási láncaikba, életciklus-kezeléssel és gyártási szintű teszteléssel.

Az IBM és a Red Hat kijelenti, hogy a projekt széles technológiai spektrumot ölel fel, beleértve a Linuxot, Java-t, Kubernetes-t, Kafka-t, Ansible-t, Terraform-ot, Flink-et, Cassandra-t, független könyvtárakat, nyelvi eszközkészleteket, AI keretrendszereket és adatfolyam-platformokat.

A központi modell három fő funkcióra összpontosít: lehetővé teszi a vállalatok számára, hogy jelentést tegyenek a szoftverükben található érzékeny sebezhetőségekről, érvényesített javítócsomagokat biztosít mind a Red Hat, mind a független közösségi kód számára, valamint koordinálja a felfelé irányuló nyilvánosságra hozatalt, hogy a javításokat megossza a nyílt forráskódú projektekkel.

Az IBM az iniciatívát a nyílt forráskódú szoftverek iránti növekvő függőségre válaszként pozicionálja a modern infrastruktúrában, valamint arra a gyors ütemre, ahogyan az AI eszközök azonosítani és kihasználni képesek a sebezhetőségeket. A cég megjegyzi, hogy a Fortune 500-as szervezetek körében széles körben elterjedt a nyílt forráskódú szoftverek használata, és a közelmúlt AI-alapú sebezhetőség-kutatásaira hivatkozik, mint a szoftverellátási láncokra nehezedő biztonsági nyomás növekedésének bizonyítékára.

A Project Lightwell jelenleg a pénzügyi szektor korai alkalmazóival, köztük a Bank of America-val, BNY-vel, Citivel, Goldman Sachsszal, JPMorgan Chase-szel, Mastercarddal, Morgan Stanley-vel, a Royal Bank of Canada-val, a State Streettel, a Visa-val és a Wells Fargóval kerül tesztelésre. Az IBM kijelenti, hogy a telepítésekből származó visszajelzések segítik a nagy léptékű sebezhetőség-azonosítást, érvényesítést és orvoslást.

A Red Hat számára, mint vezető nyílt forráskódú szolgáltató, ez kiterjeszti a vállalat által már működtetett nyílt forráskódú üzleti modellt. Míg a Red Hat már kezeli a saját platformkomponensei életciklusát, érvényesítését és javításait, a Project Lightwell ezeket a mérnöki folyamatokat a nyílt forráskódú komponensekre is alkalmazza, túllépve a hagyományos termékhatárokon.

Az IBM kijelenti, hogy a mérnöki csapatok AI-alapú felülvizsgálatot, triázst és priorizálást fognak alkalmazni a sebezhetőségek nagy léptékű kezelésére, miközben a felfelé irányuló karbantartásra, a javítócsomagok fejlesztésére, a függőségek megerősítésére és a kiadásmérnökségre is összpontosítanak.

Végül a bejelentés tisztázza, hogy a Project Lightwell nem a felfelé irányuló karbantartók vagy a meglévő nyílt forráskódú biztonsági folyamatok helyettesítésére szolgál. Az IBM és a Red Hat inkább egy vállalati koordinációs és érvényesítési rétegként mutatja be, amely összeköti a nyílt forráskódú szoftverekre támaszkodó vállalatokat a karbantartó felfelé irányuló közösségekkel.

További részletekért lásd az IBM bejelentését.