IBM og Red Hat annonserte lanseringen av et initiativ Prosjekt Lightwell, innenfor rammen av hvilken selskapene har til hensikt å investere 5 milliarder dollar til forsvar for åpen kildekode-programvare og programvareforsyningskjeder. Prosjektet presenteres som et «pålitelig koordineringssenter» for å identifisere, verifisere og fikse sårbarheter i åpen kildekode-komponenter som brukes av bedriftskunder.
hjerte Prosjekt Lightwell — utvide Red Hats etablerte modell for åpen kildekode-støtte for bedrifter utover sine egne produkter. Mens selskapet tidligere testet, signerte, leverte og sendte oppgraderinger oppstrøms primært for komponenter i sine egne plattformer, ønsker de nå å bruke denne tilnærmingen på et bredere sett med avhengigheter: uavhengige biblioteker, språkverktøykjeder, AI-rammeverk og plattformer for strømming av databehandling.
IBM og Red Hat planlegger å la bedriftskunder rapportere sikkerhetsproblemer som finnes i spesifikke versjoner av programvaren deres, motta bekreftede rettelser og integrere dem i eksisterende bygge- og leveringskjeder. Red Hat oppgir spesifikt at kunder vil kunne sende inn byggeverktøyene sine, inkludert Artifactory, Nexus eller Maven, til Red Hats sikre register. Selskapet vil deretter skanne, backportere, teste, signere og levere fiksede artefakter for de tildelte pakkeversjonene.
Prosjekt Lightwell vil bli tilbudt som kommersielt abonnement. Reuters med referanse I en uttalelse fra IBM Softwares senior visepresident, Rob Thomas, står det at tjenesten forventes å bli kommersielt tilgjengelig «innen de neste 30 dagene», og prisene vil sannsynligvis være basert på antall pakker som brukes. Ifølge IBM vil kunder kunne få en form for garanti fra et clearinghouse om at deres åpen kildekode-komponenter er trygge for produksjonsbruk.
Prosjektet har annonsert deltakelse fra mer enn 20 tusen ingeniører IBM og Red Hat, samt bruk av AI for masseanalyse av sårbarheter, triage, prioritering og validering av patcher. Red Hat understreker at AI blir sett på som et verktøy for å akselerere den første databehandlingen, mens kritiske beslutninger bør forbli hos ingeniører som forstår konteksten av oppstrøms utvikling, backport-kompatibilitet og ansvarlige prosedyrer for avsløring av sårbarheter.
De første deltakerne i Project Lightwell var store finansinstitusjoner, inkludert Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa og Wells FargoMed disse implementeringene har IBM og Red Hat til hensikt å øve på prosesser for å identifisere, verifisere og utbedre sårbarheter i komplekse programvareforsyningskjeder.
IBM understreker separat omfanget av problemet: selskapet bruker selv mer 62 tusen pakker med åpen kildekode og hevder dyp ekspertise i mer enn 10 tusen av dem. Eksempler på områder der IBM og Red Hat allerede har samlet ekspertise inkluderer Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink og Cassandra.
Project Lightwell ser i hovedsak ut som et forsøk på å gjøre vedlikehold og verifisering av avhengigheter av åpen kildekode til et frittstående bedriftsprodukt. Et sentralt spørsmål for fellesskapet vil være hvor raskt feilrettinger virkelig vil bli skjøvet oppstrøms, i stedet for å forbli innenfor det betalte IBM/Red Hat-rammeverket. I den offisielle prosjektbeskrivelsen lover selskapene å samtidig levere verifiserte feilrettinger til kunder og bidra med oppdateringer til åpen kildekode-prosjekter gjennom en ansvarlig offentliggjøringsprosess.
Kilde: linux.org.ru
