IBM e Red Hat hanno annunciato il lancio di un'iniziativa Progetto Lightwell, nell'ambito del quale le aziende intendono investire 5 miliardi In difesa del software open source e delle relative filiere di fornitura. Il progetto si presenta come un "centro di coordinamento affidabile" per l'identificazione, la verifica e la correzione delle vulnerabilità nei componenti open source utilizzati dai clienti aziendali.
Sostanza Progetto Lightwell — estendere il consolidato modello di supporto open source aziendale di Red Hat oltre i propri prodotti. Mentre in precedenza l'azienda testava, firmava, distribuiva e inviava patch a monte principalmente per i componenti delle proprie piattaforme, ora intende applicare questo approccio a una gamma più ampia di dipendenze: librerie indipendenti, toolchain per linguaggi di programmazione, framework di intelligenza artificiale e piattaforme per l'elaborazione di dati in streaming.
IBM e Red Hat prevedono di consentire ai clienti aziendali di segnalare problemi di sicurezza riscontrati in specifiche versioni del loro software, ricevere correzioni verificate e integrarle nelle loro catene di build e distribuzione esistenti. Red Hat afferma in particolare che i clienti potranno inviare i propri strumenti di build, tra cui Artifactory, Nexus o Maven, al registro sicuro di Red Hat; l'azienda eseguirà quindi la scansione, il backporting, il test, la firma e la distribuzione degli artefatti corretti per le versioni del pacchetto assegnate.
Il progetto Lightwell sarà offerto come abbonamento commerciale. Reuters con riferimento Rob Thomas, Vicepresidente Senior di IBM Software, ha dichiarato che il servizio dovrebbe essere disponibile commercialmente "entro i prossimi 30 giorni", con prezzi probabilmente basati sul numero di pacchetti utilizzati. Secondo IBM, i clienti potranno ricevere una sorta di garanzia da parte di un ente di certificazione che attesti la sicurezza dei loro componenti open source per l'utilizzo in produzione.
Il progetto ha annunciato la partecipazione di oltre 20 mila ingegneri IBM e Red Hat, così come l'uso dell'IA per l'analisi di massa delle vulnerabilità, la valutazione, la definizione delle priorità e la convalida delle patch. Red Hat sottolinea che l'IA è vista come uno strumento per accelerare l'elaborazione iniziale dei dati, mentre le decisioni critiche dovrebbero rimanere di competenza degli ingegneri che comprendono il contesto dello sviluppo a monte, la compatibilità con le versioni precedenti e le procedure responsabili di divulgazione delle vulnerabilità.
I primi partecipanti al Progetto Lightwell sono stati grandi istituzioni finanziarie, tra cui Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa e Wells FargoCon queste implementazioni, IBM e Red Hat intendono mettere in pratica processi per identificare, verificare e correggere le vulnerabilità nelle complesse catene di fornitura del software.
IBM sottolinea separatamente la portata del problema: l'azienda stessa utilizza più 62 mila pacchetti open source e vanta una profonda competenza in più di 10 mila di loro. Esempi di aree in cui IBM e Red Hat hanno già accumulato competenze includono LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink e Cassandra.
Il progetto Lightwell sembra essenzialmente un tentativo di trasformare la manutenzione e la verifica delle dipendenze open source in un prodotto aziendale autonomo. Una questione chiave per la community sarà la velocità con cui le correzioni verranno effettivamente integrate nel progetto principale, anziché rimanere confinate all'interno del framework a pagamento di IBM/Red Hat. Nella descrizione ufficiale del progetto, le aziende promettono di fornire simultaneamente correzioni verificate ai clienti e di contribuire con patch ai progetti open source attraverso un processo di divulgazione responsabile.
Fonte: linux.org.ru
