Η IBM και η Red Hat ανακοίνωσαν την έναρξη μιας πρωτοβουλίας Έργο Lightwell, στο πλαίσιο του οποίου οι εταιρείες προτίθενται να επενδύσουν 5 δισεκατομμύρια δολάρια για την υπεράσπιση του λογισμικού ανοιχτού κώδικα και των αλυσίδων εφοδιασμού λογισμικού. Το έργο παρουσιάζεται ως ένα «αξιόπιστο κέντρο συντονισμού» για τον εντοπισμό, την επαλήθευση και την επιδιόρθωση τρωτών σημείων σε στοιχεία ανοιχτού κώδικα που χρησιμοποιούνται από εταιρικούς πελάτες.
καρδιά Έργο Lightwell — να επεκτείνει το καθιερωμένο μοντέλο εταιρικής υποστήριξης ανοιχτού κώδικα της Red Hat πέρα από τα δικά της προϊόντα. Ενώ η εταιρεία στο παρελθόν δοκίμαζε, υπέγραφε, παρέδιδε και έστελνε ενημερώσεις κώδικα (patches) προς τα πάνω κυρίως για στοιχεία των δικών της πλατφορμών, τώρα θέλει να εφαρμόσει αυτήν την προσέγγιση σε ένα ευρύτερο σύνολο εξαρτήσεων: ανεξάρτητες βιβλιοθήκες, αλυσίδες εργαλείων γλώσσας, πλαίσια τεχνητής νοημοσύνης (AI frameworks) και πλατφόρμες επεξεργασίας δεδομένων ροής.
Η IBM και η Red Hat σχεδιάζουν να επιτρέψουν στους εταιρικούς πελάτες να αναφέρουν προβλήματα ασφαλείας που εντοπίζονται σε συγκεκριμένες εκδόσεις του λογισμικού τους, να λαμβάνουν επαληθευμένες διορθώσεις και να τις ενσωματώνουν στις υπάρχουσες αλυσίδες κατασκευής και παράδοσης. Η Red Hat δηλώνει συγκεκριμένα ότι οι πελάτες θα μπορούν να υποβάλλουν τα εργαλεία κατασκευής τους, συμπεριλαμβανομένων των Artifactory, Nexus ή Maven, στο ασφαλές μητρώο της Red Hat. Στη συνέχεια, η εταιρεία θα σαρώνει, θα μεταφέρει ξανά, θα δοκιμάζει, θα υπογράφει και θα παραδίδει διορθωμένα αντικείμενα για τις εκδόσεις πακέτων που έχουν αντιστοιχιστεί.
Το Project Lightwell θα προσφέρεται ως εμπορική συνδρομή. Reuters με αναφορά Σε δήλωση του Ανώτερου Αντιπροέδρου της IBM Software, Rob Thomas, αναφέρεται ότι η υπηρεσία αναμένεται να γίνει εμπορικά διαθέσιμη «εντός των επόμενων 30 ημερών», με την τιμολόγηση πιθανότατα να βασίζεται στον αριθμό των πακέτων που χρησιμοποιούνται. Σύμφωνα με την IBM, οι πελάτες θα μπορούν να λάβουν μια μορφή διαβεβαίωσης από το γραφείο εκκαθάρισης ότι τα στοιχεία ανοιχτού κώδικα που διαθέτουν είναι ασφαλή για χρήση στην παραγωγή.
Το έργο έχει ανακοινώσει τη συμμετοχή περισσότερων από 20 χιλιάδες μηχανικοί IBM και Red Hat, καθώς και η χρήση της Τεχνητής Νοημοσύνης για ανάλυση μαζικών ευπαθειών, διαλογή, ιεράρχηση προτεραιοτήτων και επικύρωση ενημερώσεων κώδικα. Η Red Hat τονίζει ότι η Τεχνητή Νοημοσύνη θεωρείται ως εργαλείο για την επιτάχυνση της αρχικής επεξεργασίας δεδομένων, ενώ οι κρίσιμες αποφάσεις θα πρέπει να παραμένουν στους μηχανικούς που κατανοούν το πλαίσιο της ανάπτυξης upstream, της συμβατότητας backport και των διαδικασιών υπεύθυνης αποκάλυψης ευπαθειών.
Οι πρώτοι συμμετέχοντες στο Project Lightwell ήταν μεγάλα χρηματοπιστωτικά ιδρύματα, συμπεριλαμβανομένων Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa και Wells FargoΜε αυτές τις υλοποιήσεις, η IBM και η Red Hat σκοπεύουν να εφαρμόσουν διαδικασίες για τον εντοπισμό, την επαλήθευση και την αποκατάσταση τρωτών σημείων σε πολύπλοκες αλυσίδες εφοδιασμού λογισμικού.
Η IBM τονίζει ξεχωριστά την κλίμακα του προβλήματος: η ίδια η εταιρεία χρησιμοποιεί περισσότερα 62 χιλιάδες πακέτα ανοιχτού κώδικα και ισχυρίζεται βαθιά εμπειρία σε περισσότερα από 10 χιλιάδες από αυτούς. Παραδείγματα τομέων όπου η IBM και η Red Hat έχουν ήδη συσσωρεύσει εμπειρογνωμοσύνη περιλαμβάνουν Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink και Cassandra.
Το Project Lightwell ουσιαστικά μοιάζει με μια προσπάθεια μετατροπής της συντήρησης και της επαλήθευσης των εξαρτήσεων ανοιχτού κώδικα σε ένα αυτόνομο εταιρικό προϊόν. Ένα βασικό ερώτημα για την κοινότητα θα είναι πόσο γρήγορα οι διορθώσεις θα προωθηθούν πραγματικά προς τα πάνω, αντί να παραμείνουν εντός του επί πληρωμή πλαισίου IBM/Red Hat. Στην επίσημη περιγραφή του έργου, οι εταιρείες υπόσχονται να παρέχουν ταυτόχρονα επαληθευμένες διορθώσεις στους πελάτες και να συνεισφέρουν ενημερώσεις κώδικα σε έργα ανοιχτού κώδικα μέσω μιας υπεύθυνης διαδικασίας αποκάλυψης.
Πηγή: linux.org.ru
