Az IBM és a Red Hat bejelentette egy kezdeményezés elindítását Lightwell projekt, amelynek keretében a vállalatok befektetni kívánnak 5 milliárd dollár a nyílt forráskódú szoftverek és a szoftverellátási láncok védelmében. A projektet „megbízható koordinációs központként” mutatják be, amely a vállalati ügyfelek által használt nyílt forráskódú komponensek sebezhetőségeinek azonosítására, ellenőrzésére és javítására szolgál.
szív Lightwell projekt — kiterjesztik a Red Hat bevett vállalati nyílt forráskódú támogatási modelljét a saját termékein túlra. Míg a vállalat korábban elsősorban a saját platformjainak komponenseihez tesztelt, írt alá, szállított és küldött javításokat a hálózatba, most ezt a megközelítést a függőségek szélesebb körére kívánják alkalmazni: független könyvtárakra, nyelvi eszközláncokra, mesterséges intelligencia keretrendszerekre és streaming adatfeldolgozó platformokra.
Az IBM és a Red Hat azt tervezi, hogy lehetővé teszi a vállalati ügyfelek számára, hogy bejelentsék a szoftvereik adott verzióiban talált biztonsági problémákat, ellenőrzött javításokat kapjanak, és integrálják azokat a meglévő build és szállítási láncaikba. A Red Hat konkrétan kijelenti, hogy az ügyfelek beküldhetik build eszközeiket, beleértve az Artifactory, Nexus vagy Maven szoftvereket, a Red Hat biztonságos nyilvántartásába; a vállalat ezután beolvassa, visszaportolja, teszteli, aláírja és leszállítja a hozzárendelt csomagverziókhoz tartozó javított elemeket.
A Project Lightwell a következőképpen lesz elérhető: kereskedelmi előfizetés. Reuters hivatkozással Rob Thomas, az IBM szoftverrészlegének alelnöke egy nyilatkozatban kijelentette, hogy a szolgáltatás várhatóan „a következő 30 napon belül” kereskedelmi forgalomban is elérhetővé válik, az árazás pedig valószínűleg a használt csomagok számától függ. Az IBM szerint az ügyfelek egyfajta információs központ általi garanciát kaphatnak arra vonatkozóan, hogy nyílt forráskódú komponenseik biztonságosak éles használatra.
A projekt több mint ... részvételét jelentette be. 20 ezer mérnök Az IBM és a Red Hat, valamint a mesterséges intelligencia használata tömeges sebezhetőség-elemzéshez, triázshoz, priorizáláshoz és javítások validálásához. A Red Hat hangsúlyozza, hogy a mesterséges intelligenciát a kezdeti adatfeldolgozás felgyorsítására szolgáló eszközként tekintik, míg a kritikus döntéseket azoknál a mérnököknél kell meghozni, akik értik az upstream fejlesztés, a backport kompatibilitás és a felelősségteljes sebezhetőség-feltárási eljárások kontextusát.
A Lightwell Projekt első résztvevői nagy pénzintézetek voltak, köztük Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa és Wells FargoEzekkel a megvalósításokkal az IBM és a Red Hat a komplex szoftverellátási láncok sebezhetőségeinek azonosítására, ellenőrzésére és elhárítására szolgáló folyamatokat kívánják gyakorolni.
Az IBM külön hangsúlyozza a probléma mértékét: maga a cég is többet használ 62 ezer nyílt forráskódú csomag és mélyreható szakértelmet állít több mint 10 ezer közülük. Az IBM és a Red Hat már felhalmozott szakértelmet többek között a következő területeken: Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink és Cassandra.
A Project Lightwell lényegében egy kísérlet arra, hogy a nyílt forráskódú függőségek karbantartását és ellenőrzését önálló vállalati termékké alakítsák. A közösség számára kulcsfontosságú kérdés az lesz, hogy milyen gyorsan lesznek a javítások valóban a folyamat felsőbb rétegeibe juttatva, ahelyett, hogy a fizetős IBM/Red Hat keretrendszeren belül maradnának. A hivatalos projektleírásban a vállalatok azt ígérik, hogy egyidejűleg ellenőrzött javításokat szállítanak az ügyfeleknek, és felelősségteljes közzétételi folyamaton keresztül járulnak hozzá a nyílt forráskódú projektekhez.
Forrás: linux.org.ru
