IBMとRed Hatは、新たな取り組みの開始を発表した。 プロジェクト・ライトウェル企業が投資を予定している枠組み 5ドル オープンソースソフトウェアおよびソフトウェアサプライチェーンの擁護を目的として、本プロジェクトは、企業顧客が使用するオープンソースコンポーネントの脆弱性を特定、検証、修正するための「信頼できる調整センター」として位置づけられています。
物質 プロジェクト・ライトウェル — Red Hatが確立した企業向けオープンソースサポートモデルを、自社製品以外にも拡大する。同社はこれまで、主に自社プラットフォームのコンポーネントを対象に、テスト、署名、配信、パッチのアップストリーム送信を行ってきたが、今後はこのアプローチを、独立したライブラリ、言語ツールチェーン、AIフレームワーク、ストリーミングデータ処理プラットフォームなど、より広範な依存関係に適用したいと考えている。
IBMとRed Hatは、企業顧客が自社ソフトウェアの特定バージョンで発見されたセキュリティ問題を報告し、検証済みの修正プログラムを受け取り、既存のビルドおよび配信チェーンに統合できるようにする計画だ。Red Hatは特に、顧客がArtifactory、Nexus、MavenなどのビルドツールをRed Hatのセキュアレジストリに提出できると明言している。Red Hatはその後、指定されたパッケージバージョンに対して、スキャン、バックポート、テスト、署名、修正済み成果物の配信を行う。
プロジェクト・ライトウェルは、 商用購読. ロイター通信参照 IBMソフトウェア担当上級副社長のロブ・トーマス氏の声明によると、このサービスは「今後30日以内」に商用提供が開始される予定で、価格は使用するパッケージ数に基づいて決定される見込みだという。IBMによれば、顧客はオープンソースコンポーネントが本番環境での使用に安全であることを、一種のクリアリングハウス保証として受け取ることができるようになる。
このプロジェクトは、 20万人のエンジニア IBMとRed Hatは、AIを活用した大規模な脆弱性分析、トリアージ、優先順位付け、パッチ検証などを推進しています。Red Hatは、AIは初期データ処理を加速するためのツールとして位置づけられており、重要な意思決定は、上流開発の状況、バックポート互換性、責任ある脆弱性開示手順を理解しているエンジニアが行うべきだと強調しています。
プロジェクト・ライトウェルの最初の参加者は、大手金融機関でした。 バンク・オブ・アメリカ、BNY、シティ、ゴールドマン・サックス、JPモルガン・チェース、マスターカード、モルガン・スタンレー、ロイヤル・バンク・オブ・カナダ、ステート・ストリート、ビザ、ウェルズ・ファーゴIBMとRed Hatは、これらの取り組みを通じて、複雑なソフトウェアサプライチェーンにおける脆弱性の特定、検証、および修復のためのプロセスを実践していくことを目指している。
IBMは、問題の規模を別途強調している。同社自身は 6万2千のオープンソースパッケージ そして、100年以上にわたる深い専門知識を主張している。 10万 IBMとRed Hatが既に専門知識を蓄積している分野の例としては、以下のようなものがある。 LinuxJava、Kubernetes、Kafka、Ansible、Terraform、Flink、Cassandra。
プロジェクト・ライトウェルは、基本的にオープンソースの依存関係の保守と検証を独立した企業製品にしようとする試みのように見える。コミュニティにとって重要な疑問は、修正がIBM/Red Hatの有料フレームワーク内に留まらず、どれだけ迅速に上流に反映されるかということだろう。公式のプロジェクト説明では、両社は検証済みの修正を顧客に提供すると同時に、責任ある情報開示プロセスを通じてオープンソースプロジェクトにパッチを提供すると約束している。
出所: linux.org.ru
