IBM dan Red Hat mengumumkan pelancaran satu inisiatif Projek Lightwell, dalam rangka kerja yang syarikat-syarikat berhasrat untuk melabur 5 bilion dolar dalam mempertahankan perisian sumber terbuka dan rantaian bekalan perisian. Projek ini dibentangkan sebagai "pusat penyelarasan yang dipercayai" untuk mengenal pasti, mengesahkan dan membetulkan kelemahan dalam komponen sumber terbuka yang digunakan oleh pelanggan korporat.
hati Projek Lightwell — melanjutkan model sokongan sumber terbuka korporat Red Hat yang mantap melangkaui produknya sendiri. Walaupun syarikat itu sebelum ini menguji, menandatangani, menghantar dan menghantar tampalan ke hulu terutamanya untuk komponen platformnya sendiri, kini mereka ingin menggunakan pendekatan ini kepada set kebergantungan yang lebih luas: perpustakaan bebas, rantaian alat bahasa, rangka kerja AI dan platform pemprosesan data penstriman.
IBM dan Red Hat merancang untuk membenarkan pelanggan perusahaan melaporkan isu keselamatan yang terdapat dalam versi tertentu perisian mereka, menerima pembetulan yang disahkan dan mengintegrasikannya ke dalam rantaian binaan dan penghantaran sedia ada mereka. Red Hat secara khusus menyatakan bahawa pelanggan akan dapat menyerahkan alat binaan mereka, termasuk Artifactory, Nexus atau Maven, ke daftar selamat Red Hat; syarikat itu kemudiannya akan mengimbas, membuat port belakang, menguji, menandatangani dan menghantar artifak tetap untuk versi pakej yang ditetapkan.
Projek Lightwell akan ditawarkan sebagai langganan komersial. Reuters dengan rujukan Satu kenyataan daripada Naib Presiden Kanan IBM Software, Rob Thomas, menyatakan bahawa perkhidmatan tersebut dijangka akan tersedia secara komersial "dalam tempoh 30 hari akan datang," dengan harga mungkin berdasarkan bilangan pakej yang digunakan. Menurut IBM, pelanggan akan dapat menerima satu bentuk jaminan pusat penjelasan bahawa komponen sumber terbuka mereka selamat untuk kegunaan pengeluaran.
Projek ini telah mengumumkan penyertaan lebih daripada 20 ribu jurutera IBM dan Red Hat, serta penggunaan AI untuk analisis kerentanan besar-besaran, triaj, keutamaan dan pengesahan tampalan. Red Hat menekankan bahawa AI dilihat sebagai alat untuk mempercepat pemprosesan data awal, sementara keputusan kritikal harus kekal dengan jurutera yang memahami konteks pembangunan huluan, keserasian backport dan prosedur pendedahan kerentanan yang bertanggungjawab.
Peserta pertama dalam Projek Lightwell adalah institusi kewangan besar, termasuk Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa dan Wells FargoDengan pelaksanaan ini, IBM dan Red Hat berhasrat untuk mengamalkan proses bagi mengenal pasti, mengesahkan dan memulihkan kelemahan dalam rantaian bekalan perisian yang kompleks.
IBM secara berasingan menekankan skala masalah: syarikat itu sendiri menggunakan lebih banyak 62 ribu pakej sumber terbuka dan mendakwa kepakaran yang mendalam dalam lebih daripada 10 ribu daripada mereka. Contoh bidang di mana IBM dan Red Hat telah mengumpul kepakaran termasuk Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink dan Cassandra.
Project Lightwell pada asasnya kelihatan seperti percubaan untuk mengubah penyelenggaraan dan pengesahan kebergantungan sumber terbuka menjadi produk korporat yang berdiri sendiri. Persoalan utama bagi komuniti ialah sejauh mana pembaikan akan benar-benar didorong ke hulu, dan bukannya kekal dalam rangka kerja IBM/Red Hat berbayar. Dalam penerangan rasmi projek, syarikat-syarikat berjanji untuk menyampaikan pembaikan yang disahkan kepada pelanggan secara serentak dan menyumbang tampalan kepada projek sumber terbuka melalui proses pendedahan yang bertanggungjawab.
Sumber: linux.org.ru
