IBM i Red Hat najavili su pokretanje inicijative Projekt Lightwell, u okviru kojeg tvrtke namjeravaju ulagati 5 milijardi dolara u obranu softvera otvorenog koda i lanaca opskrbe softverom. Projekt je predstavljen kao "pouzdani koordinacijski centar" za identificiranje, provjeru i ispravljanje ranjivosti u komponentama otvorenog koda koje koriste korporativni klijenti.
srce Projekt Lightwell — proširiti Red Hatov ustaljeni model korporativne podrške otvorenog koda izvan vlastitih proizvoda. Dok je tvrtka prethodno testirala, potpisivala, isporučivala i slala zakrpe prvenstveno za komponente vlastitih platformi, sada žele primijeniti ovaj pristup na širi skup ovisnosti: neovisne biblioteke, jezične alate, AI okvire i platforme za obradu podataka u streamingu.
IBM i Red Hat planiraju omogućiti poslovnim korisnicima prijavljivanje sigurnosnih problema pronađenih u određenim verzijama njihovog softvera, primanje provjerenih ispravaka i njihovu integraciju u postojeće lance izgradnje i isporuke. Red Hat posebno navodi da će korisnici moći poslati svoje alate za izgradnju, uključujući Artifactory, Nexus ili Maven, u Red Hatov sigurni registar; tvrtka će zatim skenirati, prenositi natrag, testirati, potpisivati i isporučivati ispravljene artefakte za dodijeljene verzije paketa.
Projekt Lightwell bit će ponuđen kao komercijalna pretplata. Reuters s referencom U izjavi višeg potpredsjednika IBM Softwarea, Roba Thomasa, navodi se da se očekuje da će usluga postati komercijalno dostupna "unutar sljedećih 30 dana", a cijena će vjerojatno ovisiti o broju korištenih paketa. Prema IBM-u, klijenti će moći dobiti svojevrsno jamstvo da su njihove komponente otvorenog koda sigurne za produkcijsku upotrebu.
Projekt je najavio sudjelovanje više od 20 tisuća inženjera IBM i Red Hat, kao i korištenje umjetne inteligencije za masovnu analizu ranjivosti, trijažu, određivanje prioriteta i validaciju zakrpa. Red Hat naglašava da se umjetna inteligencija promatra kao alat za ubrzavanje početne obrade podataka, dok bi kritične odluke trebale ostati na inženjerima koji razumiju kontekst uzvodnog razvoja, kompatibilnost s povratnim portovima i odgovorne postupke otkrivanja ranjivosti.
Prvi sudionici Projekta Lightwell bile su velike financijske institucije, uključujući Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa i Wells FargoS ovim implementacijama, IBM i Red Hat namjeravaju uvježbati procese za identificiranje, provjeru i saniranje ranjivosti u složenim lancima opskrbe softverom.
IBM zasebno naglašava razmjere problema: sama tvrtka koristi više 62 tisuće paketa otvorenog koda i tvrdi da ima duboko stručno znanje u više od 10 tisuća od njih. Primjeri područja u kojima su IBM i Red Hat već akumulirali stručnost uključuju Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink i Cassandra.
Projekt Lightwell u biti izgleda kao pokušaj pretvaranja održavanja i provjere ovisnosti otvorenog koda u samostalni korporativni proizvod. Ključno pitanje za zajednicu bit će koliko brzo će se ispravci zaista progurati uzvodno, umjesto da ostanu unutar plaćenog IBM/Red Hat okvira. U službenom opisu projekta, tvrtke obećavaju istovremeno isporučivati provjerene ispravke klijentima i doprinositi zakrpama za projekte otvorenog koda putem odgovornog procesa objavljivanja.
Izvor: linux.org.ru
