IBM und Red Hat haben den Start einer Initiative angekĂŒndigt Projekt Lightwell, in deren Rahmen die Unternehmen beabsichtigen zu investieren 5 Milliarden Zum Schutz von Open-Source-Software und Software-Lieferketten prĂ€sentiert sich das Projekt als âvertrauenswĂŒrdiges Koordinierungszentrumâ zur Identifizierung, ĂberprĂŒfung und Behebung von Schwachstellen in Open-Source-Komponenten, die von Unternehmenskunden eingesetzt werden.
Substanz Projekt Lightwell â Red Hats etabliertes Modell der UnterstĂŒtzung von Open-Source-Software ĂŒber die eigenen Produkte hinaus ausweiten. WĂ€hrend das Unternehmen bisher hauptsĂ€chlich Komponenten seiner eigenen Plattformen testete, signierte, auslieferte und Patches an die Entwickler weiterleitete, möchte es diesen Ansatz nun auf ein breiteres Spektrum an AbhĂ€ngigkeiten anwenden: unabhĂ€ngige Bibliotheken, Sprachwerkzeugketten, KI-Frameworks und Plattformen zur Verarbeitung von Streaming-Daten.
IBM und Red Hat planen, Unternehmenskunden die Möglichkeit zu geben, SicherheitslĂŒcken in bestimmten Softwareversionen zu melden, verifizierte Korrekturen zu erhalten und diese in ihre bestehenden Build- und Bereitstellungsprozesse zu integrieren. Red Hat gibt an, dass Kunden ihre Build-Tools, darunter Artifactory, Nexus oder Maven, in die sichere Red Hat-Registry eintragen können. Das Unternehmen scannt die betroffenen Versionen, portiert sie zurĂŒck, testet sie, signiert sie und liefert die korrigierten Artefakte fĂŒr die zugewiesenen Paketversionen aus.
Das Projekt Lightwell wird angeboten als kommerzielles Abonnement. Reuters mit Bezug Laut einer ErklĂ€rung von Rob Thomas, Senior Vice President von IBM Software, wird der Service voraussichtlich innerhalb der nĂ€chsten 30 Tage kommerziell verfĂŒgbar sein. Die Preisgestaltung dĂŒrfte sich nach der Anzahl der genutzten Pakete richten. IBM zufolge erhalten Kunden damit eine Art Clearingstelle, die bestĂ€tigt, dass ihre Open-Source-Komponenten sicher fĂŒr den Produktiveinsatz sind.
Das Projekt hat die Teilnahme von mehr als 20 Ingenieure IBM und Red Hat setzen KI ein, um Schwachstellen umfassend zu analysieren, zu priorisieren und Patches zu validieren. Red Hat betont, dass KI die erste Datenverarbeitung beschleunigt, kritische Entscheidungen jedoch weiterhin von Ingenieuren getroffen werden sollten, die den Kontext der Upstream-Entwicklung, die Backport-KompatibilitÀt und die Verfahren zur verantwortungsvollen Offenlegung von Schwachstellen verstehen.
Die ersten Teilnehmer am Projekt Lightwell waren groĂe Finanzinstitute, darunter Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa und Wells FargoMit diesen Implementierungen wollen IBM und Red Hat Prozesse zur Identifizierung, ĂberprĂŒfung und Behebung von Schwachstellen in komplexen Software-Lieferketten erproben.
IBM hebt separat das AusmaĂ des Problems hervor: Das Unternehmen selbst verwendet mehr 62 Open-Source-Pakete und beansprucht umfassende Expertise in mehr als 10 Tausend Beispiele fĂŒr Bereiche, in denen IBM und Red Hat bereits Expertise gesammelt haben, sind: LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink und Cassandra.
Project Lightwell wirkt im Wesentlichen wie der Versuch, die Wartung und Verifizierung von Open-Source-AbhĂ€ngigkeiten in ein eigenstĂ€ndiges Unternehmensprodukt umzuwandeln. Eine zentrale Frage fĂŒr die Community wird sein, wie schnell Fehlerbehebungen tatsĂ€chlich in die Open-Source-Projekte einflieĂen und nicht im kostenpflichtigen IBM/Red-Hat-Framework verbleiben. In der offiziellen Projektbeschreibung versprechen die Unternehmen, Kunden gleichzeitig verifizierte Korrekturen bereitzustellen und Patches ĂŒber einen verantwortungsvollen Offenlegungsprozess zu Open-Source-Projekten beizutragen.
Source: linux.org.ru
