IBM и Red Hat су најавили покретање иницијативе Пројекат Лајтвел, у оквиру којег компаније намеравају да инвестирају 5 милијарди долара у одбрану софтвера отвореног кода и ланаца снабдевања софтвером. Пројекат је представљен као „поуздани координациони центар“ за идентификовање, верификацију и отклањање рањивости у компонентама отвореног кода које користе корпоративни клијенти.
срце Пројекат Лајтвел — проширити Red Hat-ов успостављени модел корпоративне подршке отвореног кода изван сопствених производа. Иако је компанија раније тестирала, потписивала, испоручивала и слала закрпе првенствено за компоненте сопствених платформи, сада желе да примене овај приступ на шири скуп зависности: независне библиотеке, језичке алате, оквире за вештачку интелигенцију и платформе за обраду стримованих података.
IBM и Red Hat планирају да омогуће пословним корисницима да пријаве безбедносне проблеме пронађене у одређеним верзијама њиховог софтвера, добију верификоване исправке и интегришу их у своје постојеће ланце изградње и испоруке. Red Hat посебно наводи да ће корисници моћи да доставе своје алате за изградњу, укључујући Artifactory, Nexus или Maven, у Red Hat-ов безбедни регистар; компанија ће затим скенирати, вратити у систем, тестирати, потписати и испоручити исправљене артефакте за додељене верзије пакета.
Пројекат Лајтвел ће бити понуђен као комерцијална претплата. Ројтерс са позивањем У саопштењу старијег потпредседника IBM Software-а, Роба Томаса, наводи се да се очекује да ће услуга постати комерцијално доступна „у наредних 30 дана“, а цена ће вероватно зависити од броја коришћених пакета. Према IBM-у, клијенти ће моћи да добију неку врсту уверења да су њихове компоненте отвореног кода безбедне за производну употребу.
Пројекат је најавио учешће више од 20 хиљада инжењера IBM и Red Hat, као и употреба вештачке интелигенције за анализу масовних рањивости, тријажу, одређивање приоритета и валидацију закрпа. Red Hat наглашава да се вештачка интелигенција посматра као алат за убрзавање почетне обраде података, док критичне одлуке треба да остану код инжењера који разумеју контекст развоја узводно, компатибилност са бекпортовима и одговорне процедуре откривања рањивости.
Први учесници у Пројекту Лајтвел биле су велике финансијске институције, укључујући Банка Америке, БНИ, Сити, Голдман Сакс, Џеј Пи Морган Чејс, Мастеркард, Морган Стенли, Ројал Банк оф Канада, Стејт Стрит, Виза и Велс ФаргоОвим имплементацијама, IBM и Red Hat намеравају да увежбају процесе за идентификацију, верификацију и отклањање рањивости у сложеним ланцима снабдевања софтвером.
IBM посебно наглашава обим проблема: сама компанија користи више 62 хиљаде пакета отвореног кода и тврди да је дубоко стручно у више од 10 хиљада од њих. Примери области у којима су IBM и Red Hat већ акумулирали стручност укључују Linux, Јава, Кубернетес, Кафка, Ансибл, Тераформ, Флинк и Касандра.
Пројекат Лајтвел у суштини изгледа као покушај да се одржавање и верификација зависности отвореног кода претворе у самостални корпоративни производ. Кључно питање за заједницу биће колико брзо ће се исправке заиста покренути узводно, уместо да остану у оквиру плаћеног IBM/Red Hat оквира. У званичном опису пројекта, компаније обећавају да ће истовремено испоручити верификоване исправке клијентима и допринети закрпама за пројекте отвореног кода кроз одговоран процес објављивања информација.
Извор: линук.орг.ру
