Společnosti IBM a Red Hat oznámily spuštění iniciativy Projekt Světelná studna, v jehož rámci hodlají společnosti investovat 5 miliard $ na obranu open source softwaru a dodavatelských řetězců softwaru. Projekt je prezentován jako „důvěryhodné koordinační centrum“ pro identifikaci, ověřování a opravu zranitelností v open source komponentách používaných firemními zákazníky.
Srdce Projekt Světelná studna — rozšířit zavedený model podpory firemního open source softwaru společnosti Red Hat i nad rámec jejích vlastních produktů. Zatímco společnost dříve testovala, podepisovala, dodávala a odesílala záplaty primárně pro komponenty vlastních platforem, nyní chce tento přístup aplikovat na širší sadu závislostí: nezávislé knihovny, jazykové nástroje, frameworky pro umělou inteligenci a platformy pro streamování dat.
Společnosti IBM a Red Hat plánují umožnit podnikovým zákazníkům hlásit bezpečnostní problémy nalezené v konkrétních verzích jejich softwaru, dostávat ověřené opravy a integrovat je do stávajících řetězců sestavení a dodání. Red Hat konkrétně uvádí, že zákazníci budou moci odeslat své nástroje pro sestavení, včetně Artifactory, Nexus nebo Maven, do zabezpečeného registru Red Hat; společnost poté provede skenování, zpětné portování, testování, podepsání a dodání opravených artefaktů pro přiřazené verze balíčků.
Projekt Lightwell bude nabízen jako komerční předplatné. Reuters s odkazem Prohlášení senior viceprezidenta IBM Software Roba Thomase uvádí, že se očekává, že služba bude komerčně dostupná „během příštích 30 dnů“, přičemž cena bude pravděpodobně záviset na počtu použitých balíčků. Podle IBM budou klienti moci získat formu záruky, že jejich open source komponenty jsou bezpečné pro produkční použití.
Projekt oznámil účast více než 20 tisíc inženýrů IBM a Red Hat, stejně jako využití umělé inteligence pro hromadnou analýzu zranitelností, třídění, prioritizaci a ověřování oprav. Red Hat zdůrazňuje, že umělá inteligence je vnímána jako nástroj pro urychlení počátečního zpracování dat, zatímco kritická rozhodnutí by měla zůstat na inženýrech, kteří rozumí kontextu vývoje v upstreamu, kompatibilitě s backporty a zodpovědným postupům pro zveřejňování zranitelností.
Prvními účastníky Projektu Lightwell byly velké finanční instituce, včetně Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa a Wells FargoS těmito implementacemi chtějí společnosti IBM a Red Hat procvičit procesy pro identifikaci, ověřování a nápravu zranitelností v komplexních dodavatelských řetězcích softwaru.
IBM samostatně zdůrazňuje rozsah problému: samotná společnost používá více 62 tisíc balíčků s otevřeným zdrojovým kódem a prohlašuje hluboké odborné znalosti ve více než 10 tisíc z nich. Mezi příklady oblastí, kde IBM a Red Hat již nashromáždily odborné znalosti, patří Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink a Cassandra.
Projekt Lightwell v podstatě vypadá jako pokus přeměnit údržbu a ověřování závislostí open source softwaru na samostatný firemní produkt. Klíčovou otázkou pro komunitu bude, jak rychle budou opravy skutečně protlačovány proti proudu, spíše než aby zůstaly v rámci placeného frameworku IBM/Red Hat. V oficiálním popisu projektu společnosti slibují, že budou současně dodávat ověřené opravy klientům a přispívat záplatami k open source projektům prostřednictvím zodpovědného procesu zveřejňování informací.
Zdroj: linux.org.ru
