IBM i Red Hat su najavili pokretanje inicijative Projekt Lightwell, u okviru kojeg kompanije namjeravaju investirati 5 milijardi dolara u odbranu softvera otvorenog koda i lanaca snabdijevanja softverom. Projekat je predstavljen kao "pouzdani koordinacijski centar" za identifikaciju, provjeru i ispravljanje ranjivosti u komponentama otvorenog koda koje koriste korporativni klijenti.
Essence Projekt Lightwell — proširiti Red Hatov uspostavljeni model korporativne podrške otvorenog koda izvan vlastitih proizvoda. Dok je kompanija prethodno testirala, potpisivala, isporučivala i slala zakrpe prvenstveno za komponente vlastitih platformi, sada žele primijeniti ovaj pristup na širi skup zavisnosti: nezavisne biblioteke, jezičke alate, AI okvire i platforme za obradu podataka u streamingu.
IBM i Red Hat planiraju omogućiti poslovnim korisnicima da prijave sigurnosne probleme pronađene u određenim verzijama njihovog softvera, dobiju verificirane ispravke i integriraju ih u svoje postojeće lance izgradnje i isporuke. Red Hat posebno navodi da će korisnici moći poslati svoje alate za izgradnju, uključujući Artifactory, Nexus ili Maven, u Red Hatov sigurni registar; kompanija će zatim skenirati, prenositi na druge platforme, testirati, potpisivati i isporučivati ispravljene artefakte za dodijeljene verzije paketa.
Projekt Lightwell će biti ponuđen kao komercijalna pretplata. Reuters s referencom U izjavi višeg potpredsjednika IBM Softwarea, Roba Thomasa, navodi se da se očekuje da će usluga postati komercijalno dostupna "u narednih 30 dana", a cijena će vjerovatno zavisiti od broja korištenih paketa. Prema IBM-u, klijenti će moći dobiti neku vrstu uvjeravanja da su njihove komponente otvorenog koda sigurne za produkcijsku upotrebu.
Projekat je najavio učešće više od 20 hiljada inženjera IBM i Red Hat, kao i korištenje umjetne inteligencije za masovnu analizu ranjivosti, trijažu, određivanje prioriteta i validaciju zakrpa. Red Hat naglašava da se umjetna inteligencija posmatra kao alat za ubrzavanje početne obrade podataka, dok kritične odluke trebaju ostati u rukama inženjera koji razumiju kontekst uzvodnog razvoja, kompatibilnost s backportom i odgovorne procedure otkrivanja ranjivosti.
Prvi učesnici u Projektu Lightwell bile su velike finansijske institucije, uključujući Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa i Wells FargoS ovim implementacijama, IBM i Red Hat namjeravaju uvježbati procese za identifikaciju, provjeru i sanaciju ranjivosti u složenim lancima snabdijevanja softverom.
IBM posebno naglašava razmjere problema: sama kompanija koristi više 62 hiljade paketa otvorenog koda i tvrdi da ima duboko iskustvo u više od 10 hiljada od njih. Primjeri područja u kojima su IBM i Red Hat već akumulirali stručnost uključuju Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink i Cassandra.
Projekt Lightwell u suštini izgleda kao pokušaj da se održavanje i verifikacija zavisnosti otvorenog koda pretvori u samostalni korporativni proizvod. Ključno pitanje za zajednicu bit će koliko brzo će se ispravke zaista progurati uzvodno, umjesto da ostanu unutar plaćenog IBM/Red Hat okvira. U službenom opisu projekta, kompanije obećavaju da će istovremeno isporučivati verificirane ispravke klijentima i doprinositi zakrpama za projekte otvorenog koda kroz odgovoran proces objavljivanja.
izvor: linux.org.ru
