IBM dan Red Hat mengumumkan peluncuran sebuah inisiatif. Proyek Lightwell, dalam kerangka kerja di mana perusahaan-perusahaan tersebut bermaksud untuk berinvestasi $5 miliar Sebagai bentuk pembelaan terhadap perangkat lunak sumber terbuka dan rantai pasokan perangkat lunak. Proyek ini dipresentasikan sebagai "pusat koordinasi tepercaya" untuk mengidentifikasi, memverifikasi, dan memperbaiki kerentanan pada komponen sumber terbuka yang digunakan oleh pelanggan korporat.
Zat Proyek Lightwell — memperluas model dukungan sumber terbuka perusahaan Red Hat yang sudah mapan di luar produk-produknya sendiri. Meskipun sebelumnya perusahaan menguji, menandatangani, mengirimkan, dan mengirimkan patch ke hulu terutama untuk komponen platformnya sendiri, mereka sekarang ingin menerapkan pendekatan ini ke serangkaian dependensi yang lebih luas: pustaka independen, toolchain bahasa, kerangka kerja AI, dan platform pemrosesan data streaming.
IBM dan Red Hat berencana untuk memungkinkan pelanggan perusahaan melaporkan masalah keamanan yang ditemukan dalam versi perangkat lunak tertentu, menerima perbaikan yang terverifikasi, dan mengintegrasikannya ke dalam rantai pembuatan dan pengiriman yang ada. Red Hat secara khusus menyatakan bahwa pelanggan akan dapat mengirimkan alat pembuatan mereka, termasuk Artifactory, Nexus, atau Maven, ke registri aman Red Hat; perusahaan kemudian akan memindai, melakukan backport, menguji, menandatangani, dan mengirimkan artefak yang telah diperbaiki untuk versi paket yang ditugaskan.
Proyek Lightwell akan ditawarkan sebagai langganan komersial. Reuters dengan mengutip Pernyataan dari Wakil Presiden Senior IBM Software, Rob Thomas, menyatakan bahwa layanan tersebut diharapkan akan tersedia secara komersial "dalam 30 hari ke depan," dengan harga kemungkinan besar berdasarkan jumlah paket yang digunakan. Menurut IBM, klien akan dapat menerima semacam jaminan dari lembaga kliring bahwa komponen sumber terbuka mereka aman untuk penggunaan produksi.
Proyek tersebut telah mengumumkan partisipasi lebih dari 20 ribu insinyur IBM dan Red Hat, serta penggunaan AI untuk analisis kerentanan massal, triase, prioritas, dan validasi patch. Red Hat menekankan bahwa AI dipandang sebagai alat untuk mempercepat pemrosesan data awal, sementara keputusan penting harus tetap berada di tangan para insinyur yang memahami konteks pengembangan hulu, kompatibilitas backport, dan prosedur pengungkapan kerentanan yang bertanggung jawab.
Peserta pertama dalam Proyek Lightwell adalah lembaga keuangan besar, termasuk Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa dan Wells FargoDengan implementasi ini, IBM dan Red Hat bermaksud untuk mempraktikkan proses identifikasi, verifikasi, dan perbaikan kerentanan dalam rantai pasokan perangkat lunak yang kompleks.
IBM secara terpisah menekankan skala masalah ini: perusahaan itu sendiri menggunakan lebih banyak 62 ribu paket sumber terbuka dan mengklaim keahlian mendalam di lebih dari 10 ribu Beberapa contoh bidang di mana IBM dan Red Hat telah mengumpulkan keahlian meliputi: LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink, dan Cassandra.
Pada dasarnya, Project Lightwell tampak seperti upaya untuk mengubah pemeliharaan dan verifikasi dependensi open source menjadi produk perusahaan yang berdiri sendiri. Pertanyaan kunci bagi komunitas adalah seberapa cepat perbaikan akan benar-benar didorong ke hulu, daripada tetap berada dalam kerangka kerja berbayar IBM/Red Hat. Dalam deskripsi proyek resmi, perusahaan berjanji untuk secara bersamaan memberikan perbaikan yang terverifikasi kepada klien dan menyumbangkan patch ke proyek open source melalui proses pengungkapan yang bertanggung jawab.
Sumber: linux.org.ru
