IBM e Red Hat anunciaron o lanzamento dunha iniciativa Proxecto Lightwell, no marco do cal as empresas pretenden investir 5 mil millóns de dólares en defensa do software de código aberto e das cadeas de subministración de software. O proxecto preséntase como un "centro de coordinación de confianza" para identificar, verificar e corrixir vulnerabilidades nos compoñentes de código aberto empregados por clientes corporativos.
corazón Proxecto Lightwell — estender o modelo establecido de soporte corporativo de código aberto de Red Hat máis alá dos seus propios produtos. Aínda que a empresa anteriormente probaba, asinaba, entregaba e enviaba parches río arriba principalmente para compoñentes das súas propias plataformas, agora queren aplicar esta estratexia a un conxunto máis amplo de dependencias: bibliotecas independentes, cadeas de ferramentas de linguaxe, marcos de IA e plataformas de procesamento de datos en streaming.
IBM e Red Hat planean permitir que os clientes empresariais informen de problemas de seguridade atopados en versións específicas do seu software, reciban correccións verificadas e integralas nas súas cadeas de compilación e entrega existentes. Red Hat afirma especificamente que os clientes poderán enviar as súas ferramentas de compilación, incluíndo Artifactory, Nexus ou Maven, ao rexistro seguro de Red Hat; a empresa entón escaneará, realizará retroportacións, probará, asinará e entregará artefactos corrixidos para as versións do paquete asignadas.
O proxecto Lightwell ofrecerase como subscrición comercial. Reuters con referencia Un comunicado do vicepresidente sénior de IBM Software, Rob Thomas, afirma que se espera que o servizo estea dispoñible comercialmente "nos próximos 30 días", e que o prezo probablemente se basee no número de paquetes utilizados. Segundo IBM, os clientes poderán recibir unha forma de garantía de que os seus compoñentes de código aberto son seguros para o seu uso en produción.
O proxecto anunciou a participación de máis de 20 mil enxeñeiros IBM e Red Hat, así como o uso da IA para a análise masiva de vulnerabilidades, a clasificación, a priorización e a validación de parches. Red Hat enfatiza que a IA se considera unha ferramenta para acelerar o procesamento inicial de datos, mentres que as decisións críticas deben permanecer en mans de enxeñeiros que entendan o contexto do desenvolvemento augas arriba, a compatibilidade con retroportadas e os procedementos responsables de divulgación de vulnerabilidades.
Os primeiros participantes no Proxecto Lightwell foron grandes institucións financeiras, incluíndo Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa e Wells FargoCon estas implementacións, IBM e Red Hat pretenden practicar procesos para identificar, verificar e remediar vulnerabilidades en cadeas de subministración de software complexas.
IBM salienta por separado a magnitude do problema: a propia empresa usa máis 62 mil paquetes de código aberto e afirma ter unha ampla experiencia en máis de 10 mil deles. Algúns exemplos de áreas nas que IBM e Red Hat xa acumularon experiencia inclúen Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink e Cassandra.
O proxecto Lightwell semella esencialmente un intento de converter o mantemento e a verificación das dependencias de código aberto nun produto corporativo independente. Unha cuestión clave para a comunidade será a rapidez coa que as correccións se implementarán realmente río arriba, en lugar de permanecer dentro do marco de pago de IBM/Red Hat. Na descrición oficial do proxecto, as empresas prometen entregar simultaneamente correccións verificadas aos clientes e contribuír con parches a proxectos de código aberto a través dun proceso de divulgación responsable.
Fonte: linux.org.ru
