IBM og Red Hat annoncerede lanceringen af et initiativ Projekt Lightwellinden for rammerne af hvilke virksomhederne har til hensigt at investere 5 milliarder dollars til forsvar for open source-software og softwareforsyningskæder. Projektet præsenteres som et "betroet koordinationscenter" til at identificere, verificere og udbedre sårbarheder i open source-komponenter, der bruges af virksomhedskunder.
hjerte Projekt Lightwell — udvide Red Hats etablerede model for open source-support til virksomheder ud over deres egne produkter. Mens virksomheden tidligere testede, underskrev, leverede og sendte patches upstream primært til komponenter på sine egne platforme, ønsker de nu at anvende denne tilgang på et bredere sæt af afhængigheder: uafhængige biblioteker, sprogværktøjskæder, AI-frameworks og platforme til streaming af databehandling.
IBM og Red Hat planlægger at give virksomhedskunder mulighed for at rapportere sikkerhedsproblemer, der findes i specifikke versioner af deres software, modtage verificerede rettelser og integrere dem i deres eksisterende build- og leveringskæder. Red Hat angiver specifikt, at kunderne vil kunne indsende deres build-værktøjer, herunder Artifactory, Nexus eller Maven, til Red Hats sikre register; virksomheden vil derefter scanne, backporte, teste, signere og levere rettede artefakter for de tildelte pakkeversioner.
Projekt Lightwell vil blive tilbudt som kommercielt abonnement. Reuters med henvisning En erklæring fra IBM Softwares Senior Vice President, Rob Thomas, angiver, at tjenesten forventes at blive kommercielt tilgængelig "inden for de næste 30 dage", og at prisen sandsynligvis vil være baseret på antallet af anvendte pakker. Ifølge IBM vil kunderne kunne modtage en form for clearinghouse-garanti for, at deres open source-komponenter er sikre til produktionsbrug.
Projektet har annonceret deltagelse af mere end 20 tusind ingeniører IBM og Red Hat, samt brugen af AI til masseanalyse af sårbarheder, triage, prioritering og validering af patches. Red Hat understreger, at AI ses som et værktøj til at accelerere den indledende databehandling, mens kritiske beslutninger bør forblive hos ingeniører, der forstår konteksten af upstream-udvikling, backport-kompatibilitet og ansvarlige procedurer for offentliggørelse af sårbarheder.
De første deltagere i Project Lightwell var store finansielle institutioner, herunder Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa og Wells FargoMed disse implementeringer har IBM og Red Hat til hensigt at øve processer til at identificere, verificere og afhjælpe sårbarheder i komplekse softwareforsyningskæder.
IBM understreger separat problemets omfang: virksomheden bruger selv mere 62 tusind open source-pakker og hævder at være dyb ekspertise i mere end 10 tusind af dem. Eksempler på områder, hvor IBM og Red Hat allerede har opbygget ekspertise, omfatter Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink og Cassandra.
Project Lightwell ligner i bund og grund et forsøg på at gøre vedligeholdelse og verifikation af open source-afhængigheder til et selvstændigt virksomhedsprodukt. Et centralt spørgsmål for fællesskabet vil være, hvor hurtigt rettelser reelt vil blive skubbet opstrøms, i stedet for at forblive inden for det betalte IBM/Red Hat-rammeværk. I den officielle projektbeskrivelse lover virksomhederne samtidig at levere verificerede rettelser til kunder og bidrage med patches til open source-projekter gennem en ansvarlig offentliggørelsesproces.
Kilde: linux.org.ru
