IBM dhe Red Hat njoftuan nisjen e një iniciative Projekti Lightwell, brenda kuadrit të të cilit kompanitë synojnë të investojnë 5 miliardë dollarë në mbrojtje të softuerit me burim të hapur dhe zinxhirëve të furnizimit të softuerëve. Projekti paraqitet si një "qendër koordinimi e besueshme" për identifikimin, verifikimin dhe rregullimin e dobësive në komponentët me burim të hapur të përdorur nga klientët e korporatave.
zemër Projekti Lightwell — zgjerojë modelin e vendosur të Red Hat për mbështetjen e korporatave me burim të hapur përtej produkteve të veta. Ndërsa kompania më parë testoi, nënshkroi, dorëzoi dhe dërgoi patch-e kryesisht për komponentët e platformave të veta, tani ata duan ta aplikojnë këtë qasje në një grup më të gjerë varësish: biblioteka të pavarura, zinxhirë mjetesh gjuhësore, korniza të inteligjencës artificiale dhe platforma të përpunimit të të dhënave të transmetimit.
IBM dhe Red Hat planifikojnë t'u lejojnë klientëve të ndërmarrjeve të raportojnë problemet e sigurisë të gjetura në versione specifike të softuerit të tyre, të marrin rregullime të verifikuara dhe t'i integrojnë ato në zinxhirët e tyre ekzistues të ndërtimit dhe shpërndarjes. Red Hat deklaron konkretisht se klientët do të jenë në gjendje të paraqesin mjetet e tyre të ndërtimit, duke përfshirë Artifactory, Nexus ose Maven, në regjistrin e sigurt të Red Hat; kompania më pas do të skanojë, backportojë, testojë, nënshkruajë dhe shpërndajë artefaktet e rregulluara për versionet e paketave të caktuara.
Projekti Lightwell do të ofrohet si abonim komercial. Reuters me referencë Një deklaratë nga Zëvendëspresidenti i Lartë i IBM Software, Rob Thomas, thotë se shërbimi pritet të bëhet i disponueshëm komercialisht "brenda 30 ditëve të ardhshme", me çmimin që ka të ngjarë të bazohet në numrin e paketave të përdorura. Sipas IBM, klientët do të jenë në gjendje të marrin një formë sigurie nga një qendër kliringu se komponentët e tyre me burim të hapur janë të sigurt për përdorim në prodhim.
Projekti ka njoftuar pjesëmarrjen e më shumë se 20 mijë inxhinierë IBM dhe Red Hat, si dhe përdorimin e IA-së për analizën e cenueshmërisë masive, triazhin, përparësimin dhe validimin e patch-eve. Red Hat thekson se IA shihet si një mjet për përshpejtimin e përpunimit fillestar të të dhënave, ndërsa vendimet kritike duhet të mbeten tek inxhinierët që e kuptojnë kontekstin e zhvillimit në rrjedhën e sipërme, përputhshmërinë e backport-it dhe procedurat e përgjegjshme të zbulimit të cenueshmërisë.
Pjesëmarrësit e parë në Projektin Lightwell ishin institucione të mëdha financiare, përfshirë Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa dhe Wells FargoMe këto implementime, IBM dhe Red Hat synojnë të praktikojnë procese për identifikimin, verifikimin dhe korrigjimin e dobësive në zinxhirët kompleksë të furnizimit me softuer.
IBM thekson veçmas shkallën e problemit: vetë kompania përdor më shumë 62 mijë paketa me burim të hapur dhe pretendon ekspertizë të thellë në më shumë se 10 mijë prej tyre. Shembuj të fushave ku IBM dhe Red Hat kanë grumbulluar tashmë ekspertizë përfshijnë Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink dhe Cassandra.
Projekti Lightwell në thelb duket si një përpjekje për ta kthyer mirëmbajtjen dhe verifikimin e varësive me burim të hapur në një produkt të pavarur të korporatës. Një pyetje kyçe për komunitetin do të jetë se sa shpejt do të shtyhen vërtet rregullimet në rrjedhën e sipërme, në vend që të mbeten brenda kornizës së paguar IBM/Red Hat. Në përshkrimin zyrtar të projektit, kompanitë premtojnë të ofrojnë njëkohësisht rregullime të verifikuara për klientët dhe të kontribuojnë me patch-e në projektet me burim të hapur përmes një procesi të përgjegjshëm zbulimi.
Burimi: linux.org.ru
