IBM en Red Hat hebben de lancering van een initiatief aangekondigd. Project Lightwell, binnen het kader waarvan de bedrijven van plan zijn te investeren $ 5 miljard Ter verdediging van open source software en softwareleveringsketens. Het project wordt gepresenteerd als een "betrouwbaar coördinatiecentrum" voor het identificeren, verifiëren en verhelpen van kwetsbaarheden in open source componenten die door zakelijke klanten worden gebruikt.
Stof Project Lightwell — Red Hat wil zijn gevestigde model voor open source-ondersteuning uitbreiden tot buiten de eigen producten. Waar het bedrijf voorheen vooral componenten van zijn eigen platformen testte, ondertekende, leverde en patches naar upstream stuurde, wil het deze aanpak nu toepassen op een bredere reeks afhankelijkheden: onafhankelijke bibliotheken, toolchains voor programmeertalen, AI-frameworks en platforms voor streaming dataverwerking.
IBM en Red Hat zijn van plan om zakelijke klanten de mogelijkheid te bieden beveiligingsproblemen in specifieke versies van hun software te melden, geverifieerde oplossingen te ontvangen en deze te integreren in hun bestaande build- en leveringsprocessen. Red Hat geeft specifiek aan dat klanten hun buildtools, waaronder Artifactory, Nexus of Maven, kunnen indienen bij het beveiligde register van Red Hat; het bedrijf zal vervolgens de betreffende pakketversies scannen, backporteren, testen, ondertekenen en de gecorrigeerde artefacten leveren.
Project Lightwell zal worden aangeboden als commercieel abonnement. Reuters met referentie In een verklaring van Rob Thomas, Senior Vice President van IBM Software, staat dat de dienst naar verwachting "binnen de komende 30 dagen" commercieel beschikbaar zal komen, waarbij de prijs waarschijnlijk afhankelijk zal zijn van het aantal gebruikte pakketten. Volgens IBM kunnen klanten een soort garantie krijgen dat hun open-sourcecomponenten veilig zijn voor gebruik in een productieomgeving.
Het project heeft de deelname van meer dan aangekondigd. 20 ingenieurs IBM en Red Hat, evenals het gebruik van AI voor grootschalige kwetsbaarheidsanalyse, triage, prioritering en patchvalidatie. Red Hat benadrukt dat AI wordt gezien als een hulpmiddel om de initiële gegevensverwerking te versnellen, terwijl cruciale beslissingen moeten blijven liggen bij engineers die de context van upstream-ontwikkeling, backport-compatibiliteit en verantwoorde procedures voor het melden van kwetsbaarheden begrijpen.
De eerste deelnemers aan Project Lightwell waren grote financiële instellingen, waaronder Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa en Wells FargoMet deze implementaties willen IBM en Red Hat processen in de praktijk brengen voor het identificeren, verifiëren en verhelpen van kwetsbaarheden in complexe softwareleveringsketens.
IBM benadrukt afzonderlijk de omvang van het probleem: het bedrijf zelf gebruikt meer 62 open source-pakketten en claimt diepgaande expertise in meer dan 10 duizend van hen. Voorbeelden van gebieden waar IBM en Red Hat al expertise hebben opgebouwd, zijn onder andere: LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink en Cassandra.
Project Lightwell lijkt in wezen een poging om het onderhoud en de verificatie van open-sourceafhankelijkheden om te zetten in een zelfstandig bedrijfsproduct. Een belangrijke vraag voor de community zal zijn hoe snel fixes daadwerkelijk upstream zullen worden doorgevoerd, in plaats van binnen het betaalde IBM/Red Hat-framework te blijven. In de officiële projectbeschrijving beloven de bedrijven tegelijkertijd geverifieerde fixes aan klanten te leveren en patches bij te dragen aan open-sourceprojecten via een verantwoord openbaarmakingsproces.
Bron: linux.org.ru
