IBM lan Red Hat ngumumake peluncuran inisiatif Proyek Lightwell, ing sajroning kerangka sing perusahaan-perusahaan kasebut arep nandur modal 5 milyar dolar kanggo mbela piranti lunak sumber terbuka lan rantai pasokan piranti lunak. Proyek iki ditampilake minangka "pusat koordinasi sing dipercaya" kanggo ngenali, verifikasi, lan ndandani kerentanan ing komponen sumber terbuka sing digunakake dening pelanggan perusahaan.
Pinter Proyek Lightwell — ngembangake model dhukungan sumber terbuka perusahaan Red Hat sing wis mapan ngluwihi produke dhewe. Nalika perusahaan sadurunge nguji, nandatangani, ngirim, lan ngirim patch menyang hulu utamane kanggo komponen platforme dhewe, saiki dheweke pengin ngetrapake pendekatan iki kanggo sakumpulan dependensi sing luwih jembar: perpustakaan independen, rantai alat basa, kerangka kerja AI, lan platform pangolahan data streaming.
IBM lan Red Hat ngrencanakake supaya para pelanggan perusahaan bisa nglaporake masalah keamanan sing ditemokake ing versi tartamtu saka piranti lunak, nampa perbaikan sing wis diverifikasi, lan nggabungake menyang rantai build lan delivery sing wis ana. Red Hat kanthi khusus nyatakake yen para pelanggan bakal bisa ngirim alat build, kalebu Artifactory, Nexus, utawa Maven, menyang registri aman Red Hat; perusahaan kasebut banjur bakal mindhai, backport, nguji, nandatangani, lan ngirim artefak sing wis dibenerake kanggo versi paket sing ditugasake.
Proyek Lightwell bakal ditawakake minangka langganan komersial. Reuters kanthi referensi Pratelan saka Wakil Presiden Senior IBM Software, Rob Thomas, nyatakake yen layanan kasebut diarepake bakal kasedhiya sacara komersial "sajrone 30 dina sabanjure," kanthi rega sing kemungkinan adhedhasar jumlah paket sing digunakake. Miturut IBM, klien bakal bisa nampa jaminan saka clearinghouse yen komponen sumber terbuka aman kanggo panggunaan produksi.
Proyèk iki wis ngumumake partisipasi luwih saka 20 ewu insinyur IBM lan Red Hat, uga panggunaan AI kanggo analisis kerentanan massal, triage, prioritas, lan validasi patch. Red Hat nandheske manawa AI dideleng minangka alat kanggo nyepetake pangolahan data awal, dene keputusan penting kudu tetep ana ing insinyur sing ngerti konteks pangembangan hulu, kompatibilitas backport, lan prosedur pengungkapan kerentanan sing tanggung jawab.
Peserta pisanan ing Project Lightwell yaiku lembaga keuangan gedhe, kalebu Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa lan Wells FargoKanthi implementasi iki, IBM lan Red Hat duwe niat kanggo praktik proses kanggo ngenali, verifikasi, lan ndandani kerentanan ing rantai pasokan piranti lunak sing kompleks.
IBM kanthi kapisah nandheske skala masalah kasebut: perusahaan kasebut dhewe nggunakake luwih akeh 62 ewu paket sumber terbuka lan ngaku duwe keahlian sing jero ing luwih saka 10 ewu saka wong-wong mau. Conto babagan bidang sing wis dikumpulake dening IBM lan Red Hat kalebu Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink lan Cassandra.
Project Lightwell sakjatine katon kaya upaya kanggo ngowahi pangopènan lan verifikasi dependensi sumber terbuka dadi produk perusahaan sing mandiri. Pitakonan kunci kanggo komunitas yaiku sepira cepet perbaikan bakal didorong menyang hulu, tinimbang tetep ana ing kerangka kerja IBM/Red Hat sing mbayar. Ing katrangan proyek resmi, perusahaan kasebut janji bakal ngirim perbaikan sing wis diverifikasi menyang klien lan nyumbang patch kanggo proyek sumber terbuka liwat proses pengungkapan sing tanggung jawab.
Source: linux.org.ru
