IBM și Red Hat au anunțat lansarea unei inițiative Proiectul Lightwell, în cadrul căruia companiile intenționează să investească 5 miliarde de dolari în apărarea software-ului open source și a lanțurilor de aprovizionare cu software. Proiectul este prezentat ca un „centru de coordonare de încredere” pentru identificarea, verificarea și remedierea vulnerabilităților din componentele open source utilizate de clienții corporativi.
inimă Proiectul Lightwell — extinderea modelului consacrat de suport open source corporativ al Red Hat dincolo de propriile produse. Deși anterior compania testa, semna, livra și trimitea patch-uri în amonte în principal pentru componente ale propriilor platforme, acum dorește să aplice această abordare unui set mai larg de dependențe: biblioteci independente, lanțuri de instrumente lingvistice, framework-uri de inteligență artificială și platforme de procesare a datelor în flux continuu.
IBM și Red Hat intenționează să permită clienților enterprise să raporteze problemele de securitate găsite în anumite versiuni ale software-ului lor, să primească remedieri verificate și să le integreze în lanțurile lor de compilare și livrare existente. Red Hat declară în mod specific că clienții vor putea trimite instrumentele lor de compilare, inclusiv Artifactory, Nexus sau Maven, în registrul securizat al Red Hat; compania va scana, va face backport, va testa, va semna și va livra apoi artefacte remediate pentru versiunile de pachete atribuite.
Proiectul Lightwell va fi oferit ca abonament comercial. Reuters cu referință O declarație a vicepreședintelui senior al IBM Software, Rob Thomas, afirmă că serviciul este așteptat să devină disponibil comercial „în următoarele 30 de zile”, prețul fiind probabil bazat pe numărul de pachete utilizate. Potrivit IBM, clienții vor putea primi o formă de garanție că componentele lor open source sunt sigure pentru utilizarea în producție.
Proiectul a anunțat participarea a peste... 20 de mii de ingineri IBM și Red Hat, precum și utilizarea inteligenței artificiale pentru analiza în masă a vulnerabilităților, triaj, prioritizare și validarea patch-urilor. Red Hat subliniază faptul că inteligența artificială este văzută ca un instrument pentru accelerarea procesării inițiale a datelor, în timp ce deciziile critice ar trebui să rămână la inginerii care înțeleg contextul dezvoltării în amonte, compatibilitatea backport-urilor și procedurile responsabile de dezvăluire a vulnerabilităților.
Primii participanți la Proiectul Lightwell au fost instituții financiare mari, inclusiv Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa și Wells FargoCu aceste implementări, IBM și Red Hat intenționează să practice procese pentru identificarea, verificarea și remedierea vulnerabilităților din lanțurile complexe de aprovizionare cu software.
IBM subliniază separat amploarea problemei: compania însăși folosește mai mult 62 de mii de pachete open source și revendică o vastă expertiză în mai mult de 10 mii dintre ele. Exemple de domenii în care IBM și Red Hat au acumulat deja expertiză includ Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink și Cassandra.
Proiectul Lightwell pare, în esență, o încercare de a transforma mentenanța și verificarea dependențelor open source într-un produs corporativ independent. O întrebare cheie pentru comunitate va fi cât de repede vor fi implementate corecturile, în loc să rămână în cadrul IBM/Red Hat plătit. În descrierea oficială a proiectului, companiile promit să livreze simultan remedieri verificate clienților și să contribuie cu patch-uri la proiecte open source printr-un proces de dezvăluire responsabilă.
Sursa: linux.org.ru
