IBM ja Red Hat teatasid algatuse kÀivitamisest Projekt Lightwell, mille raames ettevÔtted kavatsevad investeerida 5 miljardit dollarit avatud lÀhtekoodiga tarkvara ja tarkvara tarneahelate kaitseks. Projekti esitletakse kui "usaldusvÀÀrset koordineerimiskeskust" Àriklientide poolt kasutatavate avatud lÀhtekoodiga komponentide haavatavuste tuvastamiseks, kontrollimiseks ja parandamiseks.
sĂŒda Projekt Lightwell â laiendada Red Hati vĂ€ljakujunenud ettevĂ”tte avatud lĂ€htekoodiga tarkvara toe mudelit vĂ€ljaspoole ettevĂ”tte enda tooteid. Kuigi ettevĂ”te testis, allkirjastas, tarnis ja saatis varem ĂŒlesvoolu parandusi peamiselt oma platvormide komponentide jaoks, soovivad nad nĂŒĂŒd seda lĂ€henemisviisi rakendada laiemale sĂ”ltuvuste hulgale: sĂ”ltumatutele teekidele, keeletööriistadele, tehisintellekti raamistikele ja voogedastusandmete töötlemise platvormidele.
IBM ja Red Hat plaanivad lubada ettevÔtteklientidel teatada oma tarkvara teatud versioonides leitud turvaprobleemidest, saada kontrollitud parandusi ning integreerida need oma olemasolevatesse ehitus- ja tarneahelatesse. Red Hat vÀidab konkreetselt, et kliendid saavad esitada oma ehitustööriistad, sealhulgas Artifactory, Nexus vÔi Maven, Red Hati turvalisse registrisse; seejÀrel skannib, tagasiportib, testib, allkirjastab ja tarnib mÀÀratud paketiversioonide parandatud esemeid.
Projekti Lightwell pakutakse jÀrgmiselt: kommertstellimus. Reuters koos viitega IBM-i tarkvara vanem asepresidendi Rob Thomase avalduses öeldakse, et teenus peaks kaubanduslikult kÀttesaadavaks muutuma "jÀrgmise 30 pÀeva jooksul" ning hind sÔltub tÔenÀoliselt kasutatavate pakettide arvust. IBM-i sÔnul saavad kliendid omamoodi kinnituse, et nende avatud lÀhtekoodiga komponendid on tootmiskasutuseks ohutud.
Projektis on osalemast teatatud enam kui 20 tuhat inseneri IBM ja Red Hat, samuti tehisintellekti kasutamine massiliseks haavatavuste analĂŒĂŒsiks, triaaĆŸiks, prioriseerimiseks ja paranduste valideerimiseks. Red Hat rĂ”hutab, et tehisintellekti vaadeldakse kui vahendit esialgse andmetöötluse kiirendamiseks, samas kui kriitilised otsused peaksid jÀÀma inseneride teha, kes mĂ”istavad ĂŒlesvoolu arenduse konteksti, backportide ĂŒhilduvust ja vastutustundlikke haavatavuste avalikustamise protseduure.
Project Lightwelli esimesed osalejad olid suured finantsasutused, sealhulgas Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa ja Wells FargoNende juurutustega kavatsevad IBM ja Red Hat harjutada protsesse keerukate tarkvaratarneahelate haavatavuste tuvastamiseks, kontrollimiseks ja parandamiseks.
IBM rĂ”hutab eraldi probleemi ulatust: ettevĂ”te ise kasutab rohkem 62 tuhat avatud lĂ€htekoodiga paketti ja vĂ€idab end olevat sĂŒgavalt pĂ€dev enam kui 10 tuhat NĂ€ited valdkondadest, kus IBM ja Red Hat on juba kogemusi kogunud, on jĂ€rgmised: Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink ja Cassandra.
Projekt Lightwell nĂ€ib sisuliselt olevat katse muuta avatud lĂ€htekoodiga sĂ”ltuvuste hooldus ja kontrollimine eraldiseisvaks ettevĂ”tte tooteks. Kogukonna jaoks on peamine kĂŒsimus, kui kiiresti parandused tegelikult ĂŒlesvoolu suunatakse, selle asemel, et jÀÀda tasulise IBM/Red Hati raamistiku piiresse. Projekti ametlikus kirjelduses lubavad ettevĂ”tted samaaegselt tarnida klientidele kontrollitud parandusi ja panustada avatud lĂ€htekoodiga projektidesse vastutustundliku avalikustamisprotsessi kaudu.
Allikas: linux.org.ru
