IBM i Red Hat han anunciat el llançament d'una iniciativa Projecte Lightwell, en el marc del qual les empreses tenen la intenció d'invertir 5 milions de dòlars en defensa del programari de codi obert i les cadenes de subministrament de programari. El projecte es presenta com un "centre de coordinació de confiança" per identificar, verificar i solucionar vulnerabilitats en components de codi obert utilitzats pels clients corporatius.
cor Projecte Lightwell — ampliar el model establert de suport corporatiu de codi obert de Red Hat més enllà dels seus propis productes. Si bé l'empresa anteriorment provava, signava, lliurava i enviava pegats aigües amunt principalment per a components de les seves pròpies plataformes, ara volen aplicar aquest enfocament a un conjunt més ampli de dependències: biblioteques independents, cadenes d'eines d'idiomes, marcs d'IA i plataformes de processament de dades en streaming.
IBM i Red Hat tenen previst permetre als clients empresarials informar de problemes de seguretat trobats en versions específiques del seu programari, rebre correccions verificades i integrar-les a les seves cadenes de compilació i lliurament existents. Red Hat afirma específicament que els clients podran enviar les seves eines de compilació, incloent-hi Artifactory, Nexus o Maven, al registre segur de Red Hat; l'empresa llavors escanejarà, farà backport, provarà, signarà i lliurarà artefactes corregits per a les versions del paquet assignades.
El projecte Lightwell s'oferirà com a subscripció comercial. Reuters amb referència Un comunicat del vicepresident sènior d'IBM Software, Rob Thomas, afirma que s'espera que el servei estigui disponible comercialment "en els propers 30 dies", amb un preu probablement basat en el nombre de paquets utilitzats. Segons IBM, els clients podran rebre una mena de garantia que els seus components de codi obert són segurs per a l'ús en producció.
El projecte ha anunciat la participació de més de 20 mil enginyers IBM i Red Hat, així com l'ús de la IA per a l'anàlisi massiva de vulnerabilitats, el triatge, la priorització i la validació de pegats. Red Hat emfatitza que la IA es considera una eina per accelerar el processament inicial de dades, mentre que les decisions crítiques han de quedar en mans d'enginyers que entenen el context del desenvolupament aigües amunt, la compatibilitat de backports i els procediments responsables de divulgació de vulnerabilitats.
Els primers participants en el Projecte Lightwell van ser grans institucions financeres, incloent-hi Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa i Wells FargoAmb aquestes implementacions, IBM i Red Hat tenen la intenció de practicar processos per identificar, verificar i solucionar vulnerabilitats en cadenes de subministrament de programari complexes.
IBM emfatitza per separat la magnitud del problema: la mateixa empresa utilitza més 62 mil paquets de codi obert i afirma tenir una àmplia experiència en més de 10 mil d'ells. Exemples d'àrees on IBM i Red Hat ja han acumulat experiència inclouen Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink i Cassandra.
El Projecte Lightwell essencialment sembla un intent de convertir el manteniment i la verificació de les dependències de codi obert en un producte corporatiu independent. Una pregunta clau per a la comunitat serà la rapidesa amb què les correccions es faran arribar aigües amunt, en lloc de romandre dins del marc de pagament d'IBM/Red Hat. En la descripció oficial del projecte, les empreses prometen lliurar simultàniament correccions verificades als clients i contribuir amb pegats a projectes de codi obert mitjançant un procés de divulgació responsable.
Font: linux.org.ru
