Spoločnosti IBM a Red Hat oznámili spustenie iniciatívy Projekt Lightwell, v rámci ktorého spoločnosti plánujú investovať 5 miliardy dolárov na obranu softvéru s otvoreným zdrojovým kódom a dodávateľských reťazcov softvéru. Projekt je prezentovaný ako „dôveryhodné koordinačné centrum“ na identifikáciu, overovanie a opravu zraniteľností v komponentoch s otvoreným zdrojovým kódom používaných firemnými zákazníkmi.
srdcové Projekt Lightwell — rozšíriť zavedený model spoločnosti Red Hat pre podporu firemného open source aj nad rámec jej vlastných produktov. Zatiaľ čo spoločnosť predtým testovala, podpisovala, dodávala a posielala záplaty predovšetkým pre komponenty vlastných platforiem, teraz chce tento prístup aplikovať na širšiu sadu závislostí: nezávislé knižnice, jazykové reťazce nástrojov, frameworky umelej inteligencie a platformy na spracovanie streamovaných údajov.
Spoločnosti IBM a Red Hat plánujú umožniť podnikovým zákazníkom hlásiť bezpečnostné problémy nájdené v konkrétnych verziách ich softvéru, dostávať overené opravy a integrovať ich do svojich existujúcich reťazcov zostavovania a doručovania. Red Hat konkrétne uvádza, že zákazníci budú môcť odoslať svoje nástroje na zostavovanie vrátane Artifactory, Nexus alebo Maven do zabezpečeného registra Red Hat; spoločnosť potom naskenuje, spätne portuje, otestuje, podpíše a doručí opravené artefakty pre priradené verzie balíkov.
Projekt Lightwell bude ponúkaný ako komerčné predplatné. Reuters s odkazom Vyhlásenie senior viceprezidenta spoločnosti IBM Software Roba Thomasa uvádza, že sa očakáva, že služba bude komerčne dostupná „v priebehu nasledujúcich 30 dní“, pričom cena bude pravdepodobne závisieť od počtu použitých balíkov. Podľa IBM budú môcť klienti získať formu záruky, že ich komponenty s otvoreným zdrojovým kódom sú bezpečné pre produkčné použitie.
Projekt oznámil účasť viac ako 20 tisíc inžinierov IBM a Red Hat, ako aj využitie umelej inteligencie na hromadnú analýzu zraniteľností, triedenie, stanovovanie priorít a overovanie záplat. Red Hat zdôrazňuje, že umelá inteligencia sa vníma ako nástroj na urýchlenie počiatočného spracovania údajov, zatiaľ čo kritické rozhodnutia by mali zostať na inžinieroch, ktorí rozumejú kontextu vývoja v upstreame, kompatibilite s backportmi a zodpovedným postupom zverejňovania zraniteľností.
Prvými účastníkmi projektu Lightwell boli veľké finančné inštitúcie vrátane Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa a Wells FargoS týmito implementáciami chcú spoločnosti IBM a Red Hat precvičiť procesy identifikácie, overovania a odstraňovania zraniteľností v komplexných dodávateľských reťazcoch softvéru.
IBM samostatne zdôrazňuje rozsah problému: samotná spoločnosť používa viac 62 tisíc balíkov s otvoreným zdrojovým kódom a prehlasuje za hlboké odborné znalosti vo viac ako 10 tisíc z nich. Medzi príklady oblastí, v ktorých už IBM a Red Hat nazhromaždili odborné znalosti, patria Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink a Cassandra.
Projekt Lightwell v podstate vyzerá ako pokus premeniť údržbu a overovanie závislostí open source na samostatný firemný produkt. Kľúčovou otázkou pre komunitu bude, ako rýchlo sa opravy skutočne presadzujú, namiesto toho, aby zostali v rámci plateného rámca IBM/Red Hat. V oficiálnom popise projektu spoločnosti sľubujú, že budú súčasne poskytovať overené opravy klientom a prispievať záplatami k open source projektom prostredníctvom zodpovedného procesu zverejňovania informácií.
Zdroj: linux.org.ru
