IBM y Red Hat anunciaron el lanzamiento de una iniciativa. Proyecto Lightwell, en cuyo marco las empresas pretenden invertir 5 millones En defensa del software de código abierto y las cadenas de suministro de software. El proyecto se presenta como un "centro de coordinación de confianza" para identificar, verificar y corregir vulnerabilidades en componentes de código abierto utilizados por clientes corporativos.
Sustancia Proyecto Lightwell — Extender el modelo establecido de soporte de código abierto corporativo de Red Hat más allá de sus propios productos. Si bien la compañía anteriormente probaba, firmaba, entregaba y enviaba parches a los desarrolladores principales principalmente para componentes de sus propias plataformas, ahora quiere aplicar este enfoque a un conjunto más amplio de dependencias: bibliotecas independientes, cadenas de herramientas de lenguaje, marcos de IA y plataformas de procesamiento de datos en tiempo real.
IBM y Red Hat planean permitir que los clientes empresariales informen sobre problemas de seguridad detectados en versiones específicas de su software, reciban correcciones verificadas y las integren en sus cadenas de compilación y distribución existentes. Red Hat especifica que los clientes podrán enviar sus herramientas de compilación, como Artifactory, Nexus o Maven, al registro seguro de Red Hat; la compañía se encargará de escanear, adaptar, probar, firmar y distribuir los artefactos corregidos para las versiones de paquete asignadas.
El proyecto Lightwell se ofrecerá como suscripción comercial. Reuters con referencia Según un comunicado de Rob Thomas, vicepresidente sénior de IBM Software, se espera que el servicio esté disponible comercialmente "en los próximos 30 días", y es probable que el precio varíe según la cantidad de paquetes utilizados. De acuerdo con IBM, los clientes podrán obtener una certificación que garantice que sus componentes de código abierto son seguros para su uso en producción.
El proyecto ha anunciado la participación de más de 20 mil ingenieros IBM y Red Hat, así como el uso de IA para el análisis masivo de vulnerabilidades, la clasificación, la priorización y la validación de parches. Red Hat enfatiza que la IA se considera una herramienta para acelerar el procesamiento inicial de datos, mientras que las decisiones críticas deben recaer en ingenieros que comprendan el contexto del desarrollo original, la compatibilidad con versiones anteriores y los procedimientos responsables de divulgación de vulnerabilidades.
Los primeros participantes en el Proyecto Lightwell fueron grandes instituciones financieras, entre ellas: Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa y Wells FargoCon estas implementaciones, IBM y Red Hat pretenden poner en práctica procesos para identificar, verificar y corregir vulnerabilidades en cadenas de suministro de software complejas.
IBM destaca por separado la magnitud del problema: la propia empresa utiliza más 62 mil paquetes de código abierto y afirma tener una profunda experiencia en más de 10 mil de ellos. Ejemplos de áreas en las que IBM y Red Hat ya han acumulado experiencia incluyen: LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink y Cassandra.
El proyecto Lightwell parece ser, en esencia, un intento de convertir el mantenimiento y la verificación de dependencias de código abierto en un producto corporativo independiente. Una pregunta clave para la comunidad será con qué rapidez se implementarán las correcciones en el repositorio principal, en lugar de permanecer dentro del marco de pago de IBM/Red Hat. En la descripción oficial del proyecto, las empresas prometen entregar simultáneamente correcciones verificadas a los clientes y contribuir con parches a proyectos de código abierto mediante un proceso de divulgación responsable.
Fuente: linux.org.ru
