IBM i Red Hat ogłosiły rozpoczęcie inicjatywy Projekt Lightwell, w ramach którego spółki zamierzają inwestować 5 miliarda dolarów w obronie oprogramowania open source i łańcuchów dostaw oprogramowania. Projekt jest przedstawiany jako „zaufane centrum koordynacji” służące do identyfikowania, weryfikowania i usuwania luk w zabezpieczeniach komponentów open source używanych przez klientów korporacyjnych.
serce Projekt Lightwell — rozszerzyć ugruntowany model korporacyjnego wsparcia open source firmy Red Hat poza własne produkty. Chociaż firma wcześniej testowała, podpisywała, dostarczała i wysyłała poprawki głównie dla komponentów swoich platform, teraz chce zastosować to podejście do szerszego zestawu zależności: niezależnych bibliotek, łańcuchów narzędzi językowych, frameworków sztucznej inteligencji i platform przetwarzania strumieniowego danych.
IBM i Red Hat planują umożliwić klientom korporacyjnym zgłaszanie problemów bezpieczeństwa wykrytych w określonych wersjach ich oprogramowania, otrzymywanie zweryfikowanych poprawek i integrowanie ich z istniejącymi łańcuchami kompilacji i dostaw. Red Hat wyraźnie oświadcza, że klienci będą mogli zgłaszać swoje narzędzia do kompilacji, takie jak Artifactory, Nexus lub Maven, do bezpiecznego rejestru Red Hat; firma będzie następnie skanować, backportować, testować, podpisywać i dostarczać poprawione artefakty dla przypisanych wersji pakietów.
Projekt Lightwell będzie oferowany jako subskrypcja komercyjna. Reuters w odniesieniu W oświadczeniu Roba Thomasa, starszego wiceprezesa IBM Software, stwierdzono, że usługa ma być dostępna komercyjnie „w ciągu najbliższych 30 dni”, a jej cena prawdopodobnie będzie zależeć od liczby wykorzystanych pakietów. Według IBM klienci będą mogli uzyskać od izby rozliczeniowej zapewnienie, że ich komponenty open source są bezpieczne do użytku produkcyjnego.
W projekcie ogłoszono udział ponad 20 tysięcy inżynierów IBM i Red Hat, a także wykorzystanie sztucznej inteligencji do masowej analizy podatności, selekcji, priorytetyzacji i walidacji poprawek. Red Hat podkreśla, że sztuczna inteligencja jest postrzegana jako narzędzie przyspieszające wstępne przetwarzanie danych, a kluczowe decyzje powinny być podejmowane przez inżynierów, którzy rozumieją kontekst rozwoju, kompatybilność wsteczną i odpowiedzialne procedury ujawniania podatności.
Pierwszymi uczestnikami Projektu Lightwell były duże instytucje finansowe, w tym Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa i Wells FargoDzięki tym wdrożeniom IBM i Red Hat zamierzają przećwiczyć procesy identyfikowania, weryfikowania i usuwania luk w zabezpieczeniach złożonych łańcuchów dostaw oprogramowania.
IBM osobno podkreśla skalę problemu: sama firma korzysta z większej liczby 62 tysiące pakietów open source i twierdzi, że posiada dogłębną wiedzę specjalistyczną w zakresie ponad 10 tysięcy z nich. Przykłady obszarów, w których IBM i Red Hat zgromadziły już wiedzę specjalistyczną, obejmują: Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink i Cassandra.
Projekt Lightwell w istocie wygląda na próbę przekształcenia utrzymania i weryfikacji zależności open source w samodzielny produkt korporacyjny. Kluczowym pytaniem dla społeczności będzie to, jak szybko poprawki będą faktycznie wdrażane w górnym nurcie, zamiast pozostawać w płatnym środowisku IBM/Red Hat. W oficjalnym opisie projektu firmy obiecują jednocześnie dostarczać zweryfikowane poprawki klientom i udostępniać poprawki do projektów open source w ramach odpowiedzialnego procesu ujawniania informacji.
Źródło: linux.org.ru
