IBM och Red Hat tillkännagav lanseringen av ett initiativ Projekt Lightwell, inom ramen för vilken företagen avser att investera 5 miljarder dollar till försvar för öppen källkodsprogramvara och programvaruleveranskedjor. Projektet presenteras som ett "betrott samordningscenter" för att identifiera, verifiera och åtgärda sårbarheter i öppen källkodskomponenter som används av företagskunder.
hjärta Projekt Lightwell — utöka Red Hats etablerade modell för företagsstöd med öppen källkod utöver sina egna produkter. Medan företaget tidigare testade, signerade, levererade och skickade patchar uppströms främst för komponenter i sina egna plattformar, vill de nu tillämpa denna metod på en bredare uppsättning beroenden: oberoende bibliotek, språkverktygskedjor, AI-ramverk och plattformar för strömmande databehandling.
IBM och Red Hat planerar att låta företagskunder rapportera säkerhetsproblem som hittats i specifika versioner av deras programvara, få verifierade korrigeringar och integrera dem i sina befintliga bygg- och leveranskedjor. Red Hat anger specifikt att kunder kommer att kunna skicka in sina byggverktyg, inklusive Artifactory, Nexus eller Maven, till Red Hats säkra register; företaget kommer sedan att skanna, backporta, testa, signera och leverera korrigerade artefakter för de tilldelade paketversionerna.
Projekt Lightwell kommer att erbjudas som kommersiell prenumeration. Reuters med hänvisning I ett uttalande från IBM Softwares Senior Vice President Rob Thomas anges att tjänsten förväntas bli kommersiellt tillgänglig "inom de närmaste 30 dagarna", och prissättningen sannolikt baseras på antalet paket som används. Enligt IBM kommer kunderna att kunna få en form av clearinghouse-garanti om att deras komponenter med öppen källkod är säkra för produktionsanvändning.
Projektet har tillkännagivit deltagande av mer än 20 tusen ingenjörer IBM och Red Hat, samt användningen av AI för massanalyser av sårbarheter, triage, prioritering och patchvalidering. Red Hat betonar att AI ses som ett verktyg för att accelerera initial databehandling, medan kritiska beslut bör tas av ingenjörer som förstår sammanhanget med uppströmsutveckling, backportkompatibilitet och ansvarsfulla procedurer för sårbarhetsredovisning.
De första deltagarna i Project Lightwell var stora finansinstitut, inklusive Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa och Wells FargoMed dessa implementeringar avser IBM och Red Hat att öva på processer för att identifiera, verifiera och åtgärda sårbarheter i komplexa programvaruleveranskedjor.
IBM betonar separat problemets omfattning: företaget använder själva mer 62 tusen paket med öppen källkod och hävdar djup expertis inom mer än 10 tusen av dem. Exempel på områden där IBM och Red Hat redan har samlat expertis inkluderar Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink och Cassandra.
Project Lightwell ser i huvudsak ut som ett försök att förvandla underhåll och verifiering av öppen källkod-beroenden till en fristående företagsprodukt. En viktig fråga för communityn kommer att vara hur snabbt korrigeringar verkligen kommer att pushas uppströms, snarare än att hålla sig inom det betalda IBM/Red Hat-ramverket. I den officiella projektbeskrivningen lovar företagen att samtidigt leverera verifierade korrigeringar till kunder och bidra med patchar till öppen källkod-projekt genom en ansvarsfull redovisningsprocess.
Källa: linux.org.ru
