IBM ja Red Hat ilmoittivat aloitteen käynnistämisestä Lightwell-projekti, jonka puitteissa yritykset aikovat investoida 5 miljardia dollaria avoimen lähdekoodin ohjelmistojen ja ohjelmistojen toimitusketjujen puolustamiseksi. Projekti esitetään "luotettuna koordinointikeskuksena", joka tunnistaa, tarkistaa ja korjaa yritysasiakkaiden käyttämien avoimen lähdekoodin komponenttien haavoittuvuuksia.
sydän Lightwell-projekti — laajentaa Red Hatin vakiintunutta yritysten avoimen lähdekoodin tukimallia omien tuotteidensa ulkopuolelle. Vaikka yritys aiemmin testasi, allekirjoitti, toimitti ja lähetti korjauspäivityksiä ylävirtaan pääasiassa omien alustojensa komponenteille, he haluavat nyt soveltaa tätä lähestymistapaa laajempaan riippuvuussuhteiden joukkoon: itsenäisiin kirjastoihin, kielityökaluketjuihin, tekoälykehyksiin ja suoratoistodatan käsittelyalustoihin.
IBM ja Red Hat aikovat antaa yritysasiakkaille mahdollisuuden ilmoittaa ohjelmistojensa tietyissä versioissa havaituista tietoturvaongelmista, vastaanottaa varmennettuja korjauksia ja integroida ne olemassa oleviin koonti- ja toimitusketjuihinsa. Red Hat toteaa erityisesti, että asiakkaat voivat lähettää koontityökalunsa, mukaan lukien Artifactory, Nexus tai Maven, Red Hatin suojattuun rekisteriin; yritys sitten skannaa, siirtää, testaa, allekirjoittaa ja toimittaa korjatut artefaktit kyseisille pakettiversioille.
Project Lightwell tarjotaan nimellä kaupallinen tilaus. Reuters viittauksineen IBM:n ohjelmistojohtaja Rob Thomasin lausunnossa todetaan, että palvelun odotetaan tulevan kaupallisesti saataville "seuraavien 30 päivän kuluessa", ja hinnoittelun odotetaan perustuvan käytettyjen pakettien määrään. IBM:n mukaan asiakkaat voivat saada eräänlaisen selvityskeskuksen vakuutuksen siitä, että heidän avoimen lähdekoodin komponenttinsa ovat turvallisia tuotantokäyttöön.
Hankkeessa on ilmoitettu yli osanottajista. 20 tuhatta insinööriä IBM ja Red Hat, sekä tekoälyn käyttö massahaavoittuvuuksien analysoinnissa, triage-luokittelussa, priorisoinnissa ja korjauspäivitysten validoinnissa. Red Hat korostaa, että tekoälyä pidetään työkaluna alustavan tiedonkäsittelyn nopeuttamiseen, kun taas kriittisten päätösten tulisi pysyä insinööreillä, jotka ymmärtävät ylävirran kehityksen kontekstin, backport-yhteensopivuuden ja vastuulliset haavoittuvuuksien paljastamismenettelyt.
Project Lightwellin ensimmäiset osallistujat olivat suuria rahoituslaitoksia, mukaan lukien Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa ja Wells FargoNäiden toteutusten myötä IBM ja Red Hat aikovat harjoitella prosesseja haavoittuvuuksien tunnistamiseksi, tarkistamiseksi ja korjaamiseksi monimutkaisissa ohjelmistotoimitusketjuissa.
IBM korostaa erikseen ongelman laajuutta: yritys itse käyttää enemmän 62 tuhatta avoimen lähdekoodin pakettia ja väittää syvällistä asiantuntemusta yli 10 tuhatta niistä. Esimerkkejä alueista, joilla IBM ja Red Hat ovat jo keränneet asiantuntemusta, ovat Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink ja Cassandra.
Project Lightwell näyttää pohjimmiltaan yritykseltä muuttaa avoimen lähdekoodin riippuvuuksien ylläpito ja varmennus itsenäiseksi yritystuotteeksi. Yhteisölle keskeinen kysymys on, kuinka nopeasti korjaukset todella siirretään eteenpäin sen sijaan, että ne pysyisivät maksullisen IBM/Red Hat -kehyksen sisällä. Virallisessa projektikuvauksessa yritykset lupaavat samanaikaisesti toimittaa varmennettuja korjauksia asiakkaille ja osallistua avoimen lähdekoodin projekteihin vastuullisen julkistamisprosessin kautta.
Lähde: linux.org.ru
