IBM ו-Red Hat הכריזו על השקת יוזמה פרויקט לייטוול, במסגרתו החברות מתכוונות להשקיע 5 מיליארד דולר להגנה על תוכנות קוד פתוח ושרשראות אספקה של תוכנה. הפרויקט מוצג כ"מרכז תיאום מהימן" לזיהוי, אימות ותיקון פגיעויות ברכיבי קוד פתוח המשמשים לקוחות עסקיים.
לב פרויקט לייטוול — להרחיב את המודל הקבוע של רד האט לתמיכה בקוד פתוח תאגידי מעבר למוצרים שלה. בעוד שהחברה בעבר בדקה, חתמה, סיפקה ושלחה תיקונים במעלה הזרם בעיקר עבור רכיבים של הפלטפורמות שלה, כעת היא רוצה ליישם גישה זו על קבוצה רחבה יותר של תלויות: ספריות עצמאיות, שרשראות כלי שפה, מסגרות בינה מלאכותית ופלטפורמות עיבוד נתונים בסטרימינג.
IBM ורד האט מתכננות לאפשר ללקוחות ארגוניים לדווח על בעיות אבטחה שנמצאו בגרסאות ספציפיות של התוכנה שלהם, לקבל תיקונים מאומתים ולשלב אותם בשרשראות הבנייה והאספקה הקיימות שלהם. רד האט מציינת במפורש כי לקוחות יוכלו להגיש את כלי הבנייה שלהם, כולל Artifactory, Nexus או Maven, למרשם המאובטח של רד האט; לאחר מכן החברה תסרוק, תעביר חזרה, תבדוק, תחתום ותספק בעיות מתוקנות עבור גרסאות החבילה שהוקצו.
פרויקט Lightwell יוצע כ- מנוי מסחרי. רויטרס עם הפניה בהצהרה של סגן נשיא בכיר של IBM Software, רוב תומאס, נכתב כי השירות צפוי להיות זמין מסחרית "בתוך 30 הימים הקרובים", כאשר התמחור צפוי להתבסס על מספר החבילות הנמצאות בשימוש. לדברי IBM, לקוחות יוכלו לקבל מעין הבטחה של בית מימון שהרכיבים בקוד פתוח שלהם בטוחים לשימוש בייצור.
הפרויקט הודיע על השתתפותם של יותר מ- 20 אלף מהנדסים IBM ו-Red Hat, כמו גם השימוש בבינה מלאכותית לניתוח פגיעויות המוניות, מיון, קביעת סדרי עדיפויות ואימות תיקונים. רד האט מדגישה כי בינה מלאכותית נתפסת ככלי להאצת עיבוד נתונים ראשוני, בעוד שהחלטות קריטיות צריכות להישאר בידי מהנדסים שמבינים את ההקשר של פיתוח במעלה הזרם, תאימות backport ונהלי גילוי פגיעויות אחראיים.
המשתתפים הראשונים בפרויקט Lightwell היו מוסדות פיננסיים גדולים, ביניהם בנק אוף אמריקה, BNY, סיטי, גולדמן זאקס, ג'יי.פי. מורגן צ'ייס, מאסטרקארד, מורגן סטנלי, רויאל בנק אוף קנדה, סטייט סטריט, ויזה וולס פארגובעזרת יישומים אלה, IBM ורד האט מתכוונות לתרגל תהליכים לזיהוי, אימות ותיקון פגיעויות בשרשראות אספקה מורכבות של תוכנה.
יבמ מדגישה בנפרד את היקף הבעיה: החברה עצמה משתמשת ביותר 62 אלף חבילות קוד פתוח וטוענת למומחיות מעמיקה ביותר מ 10 אלף מהם. דוגמאות לתחומים שבהם IBM ו-Red Hat כבר צברו מומחיות כוללות Linux, ג'אווה, קוברנטס, קפקא, אנסיבל, טרפורם, פלינק וקסנדרה.
פרויקט Lightwell נראה למעשה כניסיון להפוך את התחזוקה והאימות של תלויות בקוד פתוח למוצר תאגידי עצמאי. שאלה מרכזית עבור הקהילה תהיה באיזו מהירות תיקונים באמת ידחפו במעלה הזרם, במקום להישאר במסגרת בתשלום של IBM/Red Hat. בתיאור הפרויקט הרשמי, החברות מבטיחות לספק בו זמנית תיקונים מאומתים ללקוחות ולתרום תיקונים לפרויקטים בקוד פתוח באמצעות תהליך גילוי אחראי.
מקור: linux.org.ru
