IBM un Red Hat paziņoja par iniciatīvas uzsākšanu Projekts Lightwell, kuras ietvaros uzņēmumi plāno investēt 5 miljardi ASV dolāru aizstāvot atvērtā pirmkoda programmatūru un programmatūras piegādes ķēdes. Projekts tiek pasniegts kā "uzticams koordinācijas centrs", lai identificētu, pārbaudītu un novērstu ievainojamības atvērtā pirmkoda komponentos, ko izmanto korporatīvie klienti.
sirds Projekts Lightwell — paplašināt Red Hat izveidoto korporatīvā atvērtā pirmkoda atbalsta modeli ārpus saviem produktiem. Lai gan uzņēmums iepriekš testēja, parakstīja, piegādāja un nosūtīja ielāpus augšupējā tirgū galvenokārt savu platformu komponentiem, tagad tas vēlas piemērot šo pieeju plašākam atkarību kopumam: neatkarīgām bibliotēkām, valodu rīku ķēdēm, mākslīgā intelekta ietvariem un straumēšanas datu apstrādes platformām.
IBM un Red Hat plāno ļaut uzņēmumu klientiem ziņot par drošības problēmām, kas konstatētas noteiktās viņu programmatūras versijās, saņemt pārbaudītus labojumus un integrēt tos esošajās būvēšanas un piegādes ķēdēs. Red Hat īpaši norāda, ka klienti varēs iesniegt savus būvēšanas rīkus, tostarp Artifactory, Nexus vai Maven, Red Hat drošajā reģistrā; pēc tam uzņēmums skenēs, pārnesīs atpakaļ, testēs, parakstīs un piegādās labotos artefaktus piešķirtajām pakotņu versijām.
Projekts Lightwell tiks piedāvāts kā komerciāls abonements. Reuters ar atsauci IBM programmatūras vecākā viceprezidenta Roba Tomasa paziņojumā teikts, ka pakalpojums, domājams, kļūs komerciāli pieejams "nākamo 30 dienu laikā", un cena, visticamāk, būs atkarīga no izmantoto pakotņu skaita. Saskaņā ar IBM sniegto informāciju, klienti varēs saņemt sava veida informācijas centru, kas apliecinās, ka viņu atvērtā pirmkoda komponenti ir droši lietošanai ražošanā.
Projektā ir paziņots par vairāk nekā dalībnieku dalību. 20 tūkstoši inženieru IBM un Red Hat, kā arī mākslīgā intelekta izmantošana masveida ievainojamību analīzei, triāžai, prioritāšu noteikšanai un ielāpu validācijai. Red Hat uzsver, ka mākslīgais intelekts tiek uzskatīts par rīku sākotnējās datu apstrādes paātrināšanai, savukārt kritiski svarīgi lēmumi jāpieņem inženieriem, kuri saprot augšupējās izstrādes kontekstu, atpakaļportēšanas saderību un atbildīgas ievainojamību atklāšanas procedūras.
Pirmie Lightwell projekta dalībnieki bija lielas finanšu iestādes, tostarp Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa un Wells FargoAr šīm ieviešanām IBM un Red Hat plāno praktizēt procesus ievainojamību identificēšanai, pārbaudei un novēršanai sarežģītās programmatūras piegādes ķēdēs.
IBM atsevišķi uzsver problēmas mērogu: pats uzņēmums izmanto vairāk 62 tūkstoši atvērtā pirmkoda pakotņu un apgalvo, ka ir dziļas zināšanas vairāk nekā 10 tūkstoši no tiem. Piemēram, IBM un Red Hat jau ir uzkrājuši pieredzi šādās jomās: Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink un Cassandra.
Projekts Lightwell būtībā izskatās pēc mēģinājuma pārvērst atvērtā pirmkoda atkarību uzturēšanu un verifikāciju par atsevišķu korporatīvu produktu. Galvenais jautājums kopienai būs, cik ātri labojumi patiešām tiks virzīti augšup pa straumi, nevis paliks maksas IBM/Red Hat ietvarā. Oficiālajā projekta aprakstā uzņēmumi sola vienlaikus piegādāt pārbaudītus labojumus klientiem un sniegt ielāpus atvērtā pirmkoda projektiem, izmantojot atbildīgu informācijas atklāšanas procesu.
Avots: linux.org.ru
