IBM و Red Hat از آغاز یک طرح ابتکاری خبر دادند پروژه لایتولکه در چارچوب آن شرکتها قصد سرمایهگذاری دارند 5 میلیارد دلار در دفاع از نرمافزارهای متنباز و زنجیرههای تأمین نرمافزار. این پروژه به عنوان یک «مرکز هماهنگی مورد اعتماد» برای شناسایی، تأیید و رفع آسیبپذیریها در اجزای متنباز مورد استفاده مشتریان شرکتی ارائه میشود.
قلب پروژه لایتول — مدل تثبیتشدهی پشتیبانی متنباز شرکتی رد هت را فراتر از محصولات خودش گسترش دهید. در حالی که این شرکت پیش از این، پچهای بالادستی را عمدتاً برای اجزای پلتفرمهای خودش آزمایش، امضا، ارائه و ارسال میکرد، اکنون میخواهد این رویکرد را به مجموعهی وسیعتری از وابستگیها اعمال کند: کتابخانههای مستقل، زنجیرههای ابزار زبان، چارچوبهای هوش مصنوعی و پلتفرمهای پردازش دادههای جریانی.
IBM و Red Hat قصد دارند به مشتریان سازمانی خود اجازه دهند تا مشکلات امنیتی موجود در نسخههای خاص نرمافزار خود را گزارش دهند، اصلاحات تأیید شده را دریافت کنند و آنها را در زنجیرههای ساخت و تحویل موجود خود ادغام کنند. Red Hat به طور خاص بیان میکند که مشتریان میتوانند ابزارهای ساخت خود، از جمله Artifactory، Nexus یا Maven را به رجیستری امن Red Hat ارسال کنند. سپس این شرکت مصنوعات اصلاح شده را برای نسخههای بسته اختصاص داده شده اسکن، بکپورت، آزمایش، امضا و ارائه خواهد کرد.
پروژه لایتول به صورت زیر ارائه خواهد شد اشتراک تجاری. رویترز با اشاره راب توماس، معاون ارشد بخش نرمافزار IBM، در بیانیهای اعلام کرد که انتظار میرود این سرویس «ظرف 30 روز آینده» به صورت تجاری در دسترس قرار گیرد و قیمتگذاری آن احتمالاً بر اساس تعداد بستههای مورد استفاده خواهد بود. به گفته IBM، مشتریان میتوانند نوعی تضمین تهاتری دریافت کنند که اجزای متنباز آنها برای استفاده در محیط عملیاتی ایمن است.
این پروژه مشارکت بیش از ... را اعلام کرده است. ۲۰ هزار مهندس IBM و Red Hat، و همچنین استفاده از هوش مصنوعی برای تجزیه و تحلیل آسیبپذیریهای گسترده، اولویتبندی، اولویتبندی و اعتبارسنجی وصلهها. Red Hat تأکید میکند که هوش مصنوعی به عنوان ابزاری برای تسریع پردازش اولیه دادهها در نظر گرفته میشود، در حالی که تصمیمات حیاتی باید بر عهده مهندسانی باشد که زمینه توسعه بالادستی، سازگاری با نسخههای پشتیبان و رویههای افشای مسئولانه آسیبپذیری را درک میکنند.
اولین شرکتکنندگان در پروژه لایتول، مؤسسات مالی بزرگی بودند، از جمله بانک آمریکا، بانک نیویورک، سیتی، گلدمن ساکس، جیپیمورگان چیس، مسترکارت، مورگان استنلی، رویال بانک کانادا، استیت استریت، ویزا و ولز فارگوبا این پیادهسازیها، IBM و Red Hat قصد دارند فرآیندهایی را برای شناسایی، تأیید و رفع آسیبپذیریها در زنجیرههای تأمین نرمافزار پیچیده تمرین کنند.
آیبیام بهطور جداگانه بر مقیاس مشکل تأکید میکند: خود شرکت از اطلاعات بیشتری استفاده میکند ۶۲ هزار بسته متنباز و ادعای تخصص عمیق در بیش از ۱۰ هزار از جمله حوزههایی که IBM و Red Hat در آنها تخصص دارند عبارتند از: Linux، جاوا، کوبرنتیز، کافکا، انسیبل، ترافرم، فلینک و کاساندرا.
پروژه لایتول اساساً شبیه تلاشی برای تبدیل نگهداری و تأیید وابستگیهای متنباز به یک محصول مستقل شرکتی به نظر میرسد. یک سوال کلیدی برای جامعه این خواهد بود که اصلاحات با چه سرعتی واقعاً به بالادست منتقل میشوند، به جای اینکه در چارچوب پولی IBM/Red Hat باقی بمانند. در توضیحات رسمی پروژه، شرکتها قول میدهند که همزمان اصلاحات تأیید شده را به مشتریان ارائه دهند و از طریق یک فرآیند افشای مسئولانه، وصلههایی را برای پروژههای متنباز ارائه دهند.
منبع: linux.org.ru
