IBM і Red Hat абвясцілі аб запуску ініцыятывы Project Lightwell, у рамках якой кампаніі маюць намер укласці 5 млрд долараў у абарону адкрытага праграмнага забеспячэння і ланцужкоў пастаўкі ПЗ. Праект прадстаўлены як «давераны цэнтр каардынацыі» для пошуку, праверкі і выпраўленні ўразлівасцяў у open source-кампанентах, выкарыстоўваных карпаратыўнымі замоўцамі.
сутнасць Project Lightwell - распаўсюдзіць звыклую для Red Hat мадэль суправаджэння карпаратыўнага open source за межы ўласных прадуктаў. Калі раней кампанія тэставала, падпісвала, пастаўляла і адпраўляла выпраўленні upstream галоўнай выявай для кампанентаў сваіх платформаў, то зараз гэты падыход жадаюць ужыць да шырэйшага набору залежнасцяў: незалежным бібліятэкам, моўным toolchain, AI-фрэймворкам і платформам струменевай апрацоўкі дадзеных.
Па задуме IBM і Red Hat, карпаратыўныя кліенты змогуць паведамляць аб знойдзеных праблемах бяспекі ў канкрэтных версіях выкарыстоўванага ПЗ, атрымліваць правераныя выпраўленні і ўбудоўваць іх у свае існуючыя ланцужкі зборкі і пастаўкі. Red Hat асобна паказвае, што заказчыкі змогуць накіроўваць свае build-інструменты, у тым ліку Artifactory, Nexus або Maven, на абаронены рэестр Red Hat; пасля гэтага кампанія будзе сканаваць, бэкпартаваць, тэсціраваць, падпісваць і пастаўляць выпраўленыя артэфакты для замацаваных версій пакетаў.
Project Lightwell будзе прапаноўвацца як камерцыйная падпіска. Reuters са спасылкай на старэйшага віцэ-прэзідэнта IBM Software Роба Томаса піша, што сэрвіс павінен стаць камерцыйна даступны "на працягу бліжэйшых 30 дзён", а кошт, верагодна, будзе залежаць ад колькасці выкарыстоўваных пакетаў. Па словах IBM, кліенты змогуць атрымліваць свайго роду пацверджанне ад clearinghouse, што іх open source-кампаненты бяспечныя для выкарыстання ў production.
У праекце заяўлены ўдзел больш 20 тысяч інжынераў IBM і Red Hat, а таксама прымяненне ІІ для масавага аналізу ўразлівасцяў, сартавання, прыярытызацыі і праверкі выпраўленняў. Пры гэтым Red Hat падкрэслівае, што ІІ разглядаецца як прылада паскарэння першаснай апрацоўкі дадзеных, а крытычныя рашэнні павінны заставацца за інжынерамі з разуменнем кантэксту upstream-распрацоўкі, сумяшчальнасці бэкпарт і працэдур адказнага раскрыцця ўразлівасцяў.
Першымі ўдзельнікамі Project Lightwell сталі буйныя фінансавыя арганізацыі, у тым ліку Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa і Wells Fargo. На гэтых укараненнях IBM і Red Hat збіраюцца адпрацоўваць працэсы выяўлення, праверкі і ўхіленні ўразлівасцяў у складаных вытворчых ланцужках пастаўкі ПА.
Асобна IBM падкрэслівае маштаб праблемы: кампанія сама выкарыстоўвае больш 62 тысяч open source-пакетаў і заяўляе аб глыбокай экспертызе больш за па 10 тысячам з іх. У якасці прыкладаў абласцей, дзе ўжо назапашана кампетэнцыя IBM і Red Hat, завуцца Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink і Cassandra.
Фактычна Project Lightwell выглядае як спроба ператварыць суправаджэнне і праверку open source-залежнасцяў у асобны карпаратыўны прадукт. Для супольнасці важным пытаннем стане тое, наколькі выпраўленні сапраўды будуць аператыўна сыходзіць у upstream, а не заставацца ўсярэдзіне платнага контуру IBM/Red Hat. У афіцыйным апісанні праекту кампаніі абяцаюць адначасова пастаўляць правераныя выпраўленні кліентам і перадаваць патчы ў адчыненыя праекты праз працэдуру адказнага расчынення.
Крыніца: linux.org.ru
