أعلنت شركتا آي بي إم وريد هات عن إطلاق مبادرة مشروع لايتويل، وفي إطار هذا الإطار تعتزم الشركات الاستثمار 5 مليار في إطار الدفاع عن البرمجيات مفتوحة المصدر وسلاسل توريدها، يُقدَّم المشروع على أنه "مركز تنسيق موثوق" لتحديد الثغرات الأمنية في مكونات البرمجيات مفتوحة المصدر التي يستخدمها عملاء الشركات، والتحقق منها، وإصلاحها.
مادة مشروع لايتويل — توسيع نموذج دعم المصادر المفتوحة المؤسسي الذي تتبناه ريد هات ليشمل منتجات أخرى غير منتجاتها الخاصة. فبينما كانت الشركة في السابق تختبر وتوقع وتسلم وترسل التحديثات إلى المصادر الرئيسية بشكل أساسي لمكونات منصاتها الخاصة، فإنها الآن ترغب في تطبيق هذا النهج على مجموعة أوسع من التبعيات: المكتبات المستقلة، وسلاسل أدوات اللغات، وأطر الذكاء الاصطناعي، ومنصات معالجة البيانات المتدفقة.
تعتزم شركتا IBM وRed Hat تمكين عملاء المؤسسات من الإبلاغ عن المشكلات الأمنية المكتشفة في إصدارات محددة من برامجهم، وتلقي إصلاحات موثقة، ودمجها في سلاسل البناء والتسليم الحالية لديهم. وتؤكد Red Hat تحديدًا أن العملاء سيتمكنون من إرسال أدوات البناء الخاصة بهم، بما في ذلك Artifactory وNexus وMaven، إلى سجل Red Hat الآمن؛ حيث ستقوم الشركة بعد ذلك بفحصها، ونقلها إلى الإصدارات السابقة، واختبارها، وتوقيعها، وتسليم الملفات المُصلحة لإصدارات الحزم المُخصصة.
سيتم طرح مشروع لايتويل كـ اشتراك تجاري. رويترز بالإشارة أفاد روب توماس، نائب الرئيس الأول لبرمجيات شركة IBM، في بيان له، أن الخدمة من المتوقع أن تُطرح تجاريًا "خلال الثلاثين يومًا القادمة"، ومن المرجح أن يعتمد سعرها على عدد الحزم المستخدمة. ووفقًا لشركة IBM، سيتمكن العملاء من الحصول على ضمان من مركز تبادل المعلومات بأن مكوناتهم مفتوحة المصدر آمنة للاستخدام في بيئات الإنتاج.
أعلن المشروع عن مشاركة أكثر من 20 ألف مهندس تُعدّ شركتا IBM وRed Hat مثالًا على استخدام الذكاء الاصطناعي في تحليل الثغرات الأمنية على نطاق واسع، وفرزها، وتحديد أولوياتها، والتحقق من صحة التحديثات. وتؤكد Red Hat أن الذكاء الاصطناعي يُنظر إليه كأداة لتسريع معالجة البيانات الأولية، بينما يجب أن تبقى القرارات الحاسمة في يد المهندسين الذين يفهمون سياق التطوير الأساسي، وتوافق التحديثات القديمة، وإجراءات الإفصاح المسؤول عن الثغرات الأمنية.
كانت المؤسسات المالية الكبيرة هي أول المشاركين في مشروع لايتويل، بما في ذلك بنك أوف أمريكا، وبنك نيويورك، وسيتي، وغولدمان ساكس، وجيه بي مورغان تشيس، وماستركارد، ومورغان ستانلي، والبنك الملكي الكندي، وستيت ستريت، وفيزا، وويلز فارجومن خلال هذه التطبيقات، تعتزم شركتا IBM و Red Hat ممارسة عمليات تحديد نقاط الضعف والتحقق منها ومعالجتها في سلاسل توريد البرامج المعقدة.
تؤكد شركة IBM بشكل منفصل على حجم المشكلة: فالشركة نفسها تستخدم أكثر 62 ألف حزمة برمجية مفتوحة المصدر ويدّعي خبرة عميقة في أكثر من عشرة آلاف من بينها. تشمل أمثلة المجالات التي اكتسبت فيها شركتا IBM وRed Hat خبرةً بالفعل ما يلي: Linux، جافا، كوبيرنيتيس، كافكا، أنسيبل، تيرافورم، فلينك وكاساندرا.
يبدو مشروع لايتويل في جوهره محاولةً لتحويل صيانة وتدقيق تبعيات المصادر المفتوحة إلى منتج مؤسسي مستقل. ويتمثل أحد الأسئلة الرئيسية التي ستُطرح على المجتمع في مدى سرعة نشر الإصلاحات في المصادر الرئيسية، بدلاً من بقائها ضمن إطار عمل IBM/Red Hat المدفوع. في الوصف الرسمي للمشروع، تعد الشركتان بتقديم إصلاحات مُدققة للعملاء والمساهمة في مشاريع المصادر المفتوحة في آنٍ واحد، وذلك من خلال عملية إفصاح مسؤولة.
المصدر: linux.org.ru
