IBM è Red Hat anu annunziatu u lanciu di una iniziativa Prughjettu Lightwell, in u quadru di u quale e cumpagnie anu l'intenzione d'investisce 5 miliardi $ in difesa di u software open source è di e catene di furnimentu di software. U prugettu hè presentatu cum'è un "centru di cuurdinamentu di fiducia" per identificà, verificà è riparà e vulnerabilità in i cumpunenti open source utilizati da i clienti corporativi.
Essence Prughjettu Lightwell — estende u mudellu stabilitu di Red Hat di supportu open source corporativu oltre i so prudutti. Mentre chì a cumpagnia prima testava, firmava, consegnava è mandava patch à monte principalmente per i cumpunenti di e so piattaforme, avà volenu applicà questu approcciu à un inseme più largu di dipendenze: biblioteche indipendenti, catene di strumenti linguistici, framework di IA è piattaforme di elaborazione di dati in streaming.
IBM è Red Hat anu previstu di permette à i clienti di l'imprese di segnalà i prublemi di sicurezza truvati in versioni specifiche di u so software, riceve correzioni verificate è integralli in e so catene di compilazione è di consegna esistenti. Red Hat dichjara specificamente chì i clienti puderanu invià i so strumenti di compilazione, cumpresi Artifactory, Nexus o Maven, à u registru sicuru di Red Hat; a cumpagnia scansionerà, farà backport, testerà, firmerà è consegnerà artefatti fissi per e versioni di pacchetti assignate.
U prugettu Lightwell serà offertu cum'è abbonamentu cummerciale. Reuters cù riferimentu Una dichjarazione di u vicepresidente senior di IBM Software, Rob Thomas, dice chì u serviziu duveria diventà dispunibule cummercialmente "in i prossimi 30 ghjorni", cù un prezzu probabilmente basatu annantu à u numeru di pacchetti utilizati. Sicondu IBM, i clienti puderanu riceve una forma di garanzia di clearing house chì i so cumpunenti open source sò sicuri per l'usu in pruduzzione.
U prugettu hà annunziatu a participazione di più di 20 mila ingegneri IBM è Red Hat, è ancu l'usu di l'IA per l'analisi di vulnerabilità di massa, u triage, a prioritizazione è a validazione di i patch. Red Hat mette in risaltu chì l'IA hè vista cum'è un strumentu per accelerà l'elaborazione iniziale di i dati, mentre chì e decisioni critiche devenu rimanere cù l'ingegneri chì capiscenu u cuntestu di u sviluppu upstream, a cumpatibilità di backport è e procedure di divulgazione responsabile di e vulnerabilità.
I primi participanti à u Prughjettu Lightwell eranu grandi istituzioni finanziarie, cumprese Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Banca Reale di u Canada, State Street, Visa è Wells FargoCù queste implementazioni, IBM è Red Hat anu l'intenzione di praticà prucessi per identificà, verificà è rimedià e vulnerabilità in catene di furnimentu di software cumplesse.
IBM mette in risaltu separatamente a scala di u prublema: a cumpagnia stessa ne usa di più 62 mila pacchetti open source è rivendica una prufonda cumpetenza in più di 10 mila di elli. Esempi di duminii induve IBM è Red Hat anu digià accumulatu cumpetenze includenu Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink è Cassandra.
U prughjettu Lightwell pare essenzialmente un tentativu di trasfurmà a manutenzione è a verificazione di e dipendenze open source in un pruduttu corporativu autonomu. Una quistione chjave per a cumunità serà a rapidità cù a quale e correzioni saranu veramente spinte à monte, invece di rimanere in u quadru IBM/Red Hat pagatu. In a descrizzione ufficiale di u prughjettu, e cumpagnie prumettenu di furnisce simultaneamente correzioni verificate à i clienti è di cuntribuisce patch à i prughjetti open source attraversu un prucessu di divulgazione responsabile.
Source: linux.org.ru
