IBM et Red Hat ont annoncé le lancement d'une initiative Projet Puits de lumière, dans le cadre duquel les sociétés ont l'intention d'investir 5 milliards Ce projet vise à défendre les logiciels libres et les chaînes d'approvisionnement logicielles. Il se présente comme un « centre de coordination de confiance » pour identifier, vérifier et corriger les vulnérabilités des composants open source utilisés par les entreprises clientes.
Substance Projet Puits de lumière — étendre le modèle éprouvé de support open source de Red Hat au-delà de ses propres produits. Alors que l'entreprise testait, signait, distribuait et envoyait auparavant des correctifs aux développeurs en amont principalement pour les composants de ses propres plateformes, elle souhaite désormais appliquer cette approche à un ensemble plus large de dépendances : bibliothèques indépendantes, chaînes d'outils de langages, frameworks d'IA et plateformes de traitement de données en flux continu.
IBM et Red Hat prévoient de permettre aux entreprises clientes de signaler les failles de sécurité détectées dans certaines versions de leurs logiciels, de recevoir des correctifs vérifiés et de les intégrer à leurs chaînes de compilation et de déploiement existantes. Red Hat précise que les clients pourront soumettre leurs outils de compilation, tels qu'Artifactory, Nexus ou Maven, au registre sécurisé de Red Hat ; l'entreprise se chargera ensuite d'analyser, de rétroporter, de tester, de signer et de fournir les correctifs pour les versions de packages concernées.
Le projet Lightwell sera proposé comme abonnement commercial. Reuters avec référence Dans un communiqué, Rob Thomas, vice-président senior d'IBM Software, indique que le service devrait être commercialisé « dans les 30 prochains jours », le prix étant probablement calculé en fonction du nombre de packages utilisés. Selon IBM, les clients bénéficieront d'une forme de garantie, fournie par un organisme de certification, que leurs composants open source sont sûrs pour une utilisation en production.
Le projet a annoncé la participation de plus de 20 000 ingénieurs IBM et Red Hat utilisent l'IA pour l'analyse, le tri, la priorisation et la validation des correctifs de vulnérabilités à grande échelle. Red Hat souligne que l'IA est un outil permettant d'accélérer le traitement initial des données, mais que les décisions critiques doivent rester du ressort des ingénieurs maîtrisant le contexte du développement en amont, la compatibilité avec les rétroportages et les procédures de divulgation responsable des vulnérabilités.
Les premiers participants au projet Lightwell étaient de grandes institutions financières, notamment Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Banque Royale du Canada, State Street, Visa et Wells FargoGrâce à ces implémentations, IBM et Red Hat entendent mettre en pratique des processus d'identification, de vérification et de correction des vulnérabilités dans les chaînes d'approvisionnement logicielles complexes.
IBM souligne par ailleurs l'ampleur du problème : l'entreprise elle-même utilise davantage de 62 000 paquets open source et revendique une expertise approfondie dans plus de 10 mille Parmi eux, on peut citer des exemples de domaines dans lesquels IBM et Red Hat ont déjà acquis une expertise : LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink et Cassandra.
Le projet Lightwell semble être une tentative de transformer la maintenance et la vérification des dépendances open source en un produit d'entreprise indépendant. Une question cruciale pour la communauté sera de savoir à quelle vitesse les correctifs seront réellement intégrés aux projets open source, au lieu de rester confinés au cadre payant d'IBM/Red Hat. Dans la description officielle du projet, les entreprises promettent de fournir simultanément des correctifs vérifiés à leurs clients et de contribuer aux projets open source via un processus de divulgation responsable.
Source: linux.org.ru
