A IBM e a Red Hat anunciaram o lançamento de uma iniciativa. Projeto Lightwell, no âmbito do qual as empresas pretendem investir 5 bilhões Em defesa do software de código aberto e das cadeias de fornecimento de software, o projeto se apresenta como um "centro de coordenação confiável" para identificar, verificar e corrigir vulnerabilidades em componentes de código aberto utilizados por clientes corporativos.
Coração Projeto Lightwell — estender o modelo estabelecido da Red Hat de suporte corporativo a código aberto para além de seus próprios produtos. Embora a empresa anteriormente testasse, assinasse, entregasse e enviasse patches para o código principal principalmente para componentes de suas próprias plataformas, agora ela deseja aplicar essa abordagem a um conjunto mais amplo de dependências: bibliotecas independentes, cadeias de ferramentas de linguagem, frameworks de IA e plataformas de processamento de dados em fluxo contínuo.
A IBM e a Red Hat planejam permitir que clientes corporativos relatem problemas de segurança encontrados em versões específicas de seus softwares, recebam correções verificadas e as integrem em seus fluxos de trabalho de compilação e distribuição existentes. A Red Hat afirma especificamente que os clientes poderão enviar suas ferramentas de compilação, incluindo Artifactory, Nexus ou Maven, para o registro seguro da Red Hat; a empresa então analisará, adaptará, testará, assinará e entregará artefatos corrigidos para as versões de pacote atribuídas.
O Projeto Lightwell será oferecido como assinatura comercial. Reuters com referência Uma declaração de Rob Thomas, vice-presidente sênior de software da IBM, afirma que o serviço deverá estar disponível comercialmente "nos próximos 30 dias", com o preço provavelmente baseado no número de pacotes utilizados. De acordo com a IBM, os clientes poderão receber uma espécie de garantia de que seus componentes de código aberto são seguros para uso em produção.
O projeto anunciou a participação de mais de 20 mil engenheiros A IBM e a Red Hat, bem como o uso de IA para análise massiva de vulnerabilidades, triagem, priorização e validação de patches. A Red Hat enfatiza que a IA é vista como uma ferramenta para acelerar o processamento inicial de dados, enquanto as decisões críticas devem permanecer com os engenheiros que entendem o contexto do desenvolvimento upstream, a compatibilidade com versões anteriores e os procedimentos responsáveis de divulgação de vulnerabilidades.
Os primeiros participantes do Projeto Lightwell foram grandes instituições financeiras, incluindo Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa e Wells FargoCom essas implementações, a IBM e a Red Hat pretendem praticar processos para identificar, verificar e corrigir vulnerabilidades em cadeias de suprimentos de software complexas.
A IBM destaca separadamente a dimensão do problema: a própria empresa utiliza mais 62 mil pacotes de código aberto e alega ter profundo conhecimento em mais de 10 mil deles. Exemplos de áreas em que a IBM e a Red Hat já acumularam experiência incluem LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink e Cassandra.
O Projeto Lightwell parece, essencialmente, uma tentativa de transformar a manutenção e verificação de dependências de código aberto em um produto corporativo independente. Uma questão fundamental para a comunidade será a rapidez com que as correções serão realmente implementadas no código principal, em vez de permanecerem dentro da estrutura paga da IBM/Red Hat. Na descrição oficial do projeto, as empresas prometem entregar correções verificadas aos clientes e contribuir com patches para projetos de código aberto simultaneamente, por meio de um processo de divulgação responsável.
Fonte: linux.org.ru
