IBM in Red Hat sta napovedala začetek pobude Projekt Lightwell, v okviru katerega nameravajo podjetja investirati 5 milijarde dolarjev v obrambo odprtokodne programske opreme in dobavnih verig programske opreme. Projekt je predstavljen kot "zaupanja vreden koordinacijski center" za prepoznavanje, preverjanje in odpravljanje ranljivosti v odprtokodnih komponentah, ki jih uporabljajo poslovne stranke.
srce Projekt Lightwell — razširiti Red Hatov uveljavljeni model podpore za odprtokodno programsko opremo v podjetjih tudi preko lastnih izdelkov. Medtem ko je podjetje prej testiralo, podpisovalo, dostavljalo in pošiljalo popravke predvsem za komponente lastnih platform, želijo zdaj ta pristop uporabiti za širši nabor odvisnosti: neodvisne knjižnice, jezikovne verige orodij, ogrodja umetne inteligence in platforme za pretakanje podatkov.
IBM in Red Hat nameravata poslovnim strankam omogočiti prijavo varnostnih težav, odkritih v določenih različicah njihove programske opreme, prejemanje preverjenih popravkov in njihovo integracijo v obstoječe verige gradnje in dobave. Red Hat posebej navaja, da bodo stranke lahko svoja orodja za gradnjo, vključno z Artifactory, Nexus ali Maven, predložile v varni register Red Hata; podjetje bo nato skeniralo, preneslo nazaj, testiralo, podpisalo in dostavilo popravljene artefakte za dodeljene različice paketov.
Projekt Lightwell bo ponujen kot komercialna naročnina. Reuters s sklicevanjem V izjavi višjega podpredsednika IBM Software Roba Thomasa je navedeno, da naj bi storitev postala komercialno dostopna »v naslednjih 30 dneh«, cena pa bo verjetno odvisna od števila uporabljenih paketov. Po navedbah IBM-a bodo stranke lahko prejele nekakšno zagotovilo, da so njihove odprtokodne komponente varne za produkcijsko uporabo.
Projekt je napovedal sodelovanje več kot 20 tisoč inženirjev IBM in Red Hat, pa tudi uporaba umetne inteligence za množično analizo ranljivosti, triažo, določanje prioritet in preverjanje popravkov. Red Hat poudarja, da se umetna inteligenca obravnava kot orodje za pospešitev začetne obdelave podatkov, medtem ko bi morale kritične odločitve ostati v rokah inženirjev, ki razumejo kontekst razvoja v začetni fazi, združljivosti s prenosom podatkov in odgovornih postopkov razkrivanja ranljivosti.
Prvi udeleženci projekta Lightwell so bile velike finančne institucije, vključno z Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa in Wells FargoS temi implementacijami nameravata IBM in Red Hat uveljaviti procese za prepoznavanje, preverjanje in odpravljanje ranljivosti v kompleksnih dobavnih verigah programske opreme.
IBM posebej poudarja obseg problema: podjetje samo uporablja več 62 tisoč odprtokodnih paketov in trdi, da ima poglobljeno strokovno znanje na več kot 10 tisoč med njimi. Primeri področij, kjer sta IBM in Red Hat že nabrala strokovno znanje, vključujejo Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink in Cassandra.
Projekt Lightwell je v bistvu videti kot poskus, da bi vzdrževanje in preverjanje odvisnosti odprte kode spremenili v samostojen korporativni izdelek. Ključno vprašanje za skupnost bo, kako hitro bodo popravki dejansko uvedeni, namesto da bi ostali znotraj plačljivega ogrodja IBM/Red Hat. V uradnem opisu projekta podjetja obljubljajo, da bodo hkrati strankam dostavljala preverjene popravke in prispevala popravke k odprtokodnim projektom prek odgovornega postopka razkrivanja.
Vir: linux.org.ru
