Inihayag ng IBM at Red Hat ang paglulunsad ng isang inisyatibo Proyekto Lightwell, sa loob ng balangkas kung saan balak mamuhunan ang mga kumpanya $5 bilyon bilang pagtatanggol sa open source software at mga supply chain ng software. Ang proyekto ay inihaharap bilang isang "mapagkakatiwalaang sentro ng koordinasyon" para sa pagtukoy, pag-verify, at pag-aayos ng mga kahinaan sa mga open source na bahagi na ginagamit ng mga corporate customer.
puso Proyekto Lightwell — palawakin ang itinatag na modelo ng suporta sa open source ng Red Hat na lampas sa sarili nitong mga produkto. Bagama't dati nang sinubukan, nilagdaan, inihatid, at ipinadala ng kumpanya ang mga patch pangunahin para sa mga bahagi ng sarili nitong mga platform, gusto na nilang ilapat ang pamamaraang ito sa mas malawak na hanay ng mga dependency: mga independiyenteng library, mga toolchain ng wika, mga framework ng AI, at mga platform sa pagproseso ng streaming data.
Plano ng IBM at Red Hat na pahintulutan ang mga enterprise customer na mag-ulat ng mga isyu sa seguridad na matatagpuan sa mga partikular na bersyon ng kanilang software, makatanggap ng mga na-verify na pag-aayos, at isama ang mga ito sa kanilang mga umiiral na build at delivery chain. Partikular na sinasabi ng Red Hat na magagawa ng mga customer na isumite ang kanilang mga build tool, kabilang ang Artifactory, Nexus, o Maven, sa secure registry ng Red Hat; pagkatapos ay i-scan, i-backport, susubukan, pipirmahan, at ihahatid ng kumpanya ang mga nakapirming artifact para sa mga itinalagang bersyon ng package.
Iaalok ang Project Lightwell bilang komersyal na suskrisyon. Reuters na may sanggunian Ayon sa isang pahayag mula sa IBM Software Senior Vice President na si Rob Thomas, inaasahang magiging available na ang serbisyo sa komersyo "sa loob ng susunod na 30 araw," at ang presyo ay malamang na ibabatay sa bilang ng mga paketeng ginamit. Ayon sa IBM, makakatanggap ang mga kliyente ng isang uri ng katiyakan mula sa clearinghouse na ang kanilang mga open source na bahagi ay ligtas para sa paggamit sa produksyon.
Inihayag ng proyekto ang partisipasyon ng mahigit 20 libong inhinyero IBM at Red Hat, pati na rin ang paggamit ng AI para sa pagsusuri ng kahinaan ng masa, triage, pagbibigay-priyoridad, at pagpapatunay ng patch. Binibigyang-diin ng Red Hat na ang AI ay tinitingnan bilang isang kasangkapan para mapabilis ang paunang pagproseso ng datos, habang ang mga kritikal na desisyon ay dapat manatili sa mga inhinyero na nakakaintindi sa konteksto ng upstream development, backport compatibility, at mga responsableng pamamaraan sa pagsisiwalat ng kahinaan.
Ang mga unang kalahok sa Project Lightwell ay malalaking institusyong pinansyal, kabilang ang Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa at Wells FargoSa pamamagitan ng mga implementasyong ito, nilalayon ng IBM at Red Hat na magsagawa ng mga proseso para sa pagtukoy, pag-verify, at pag-aayos ng mga kahinaan sa mga kumplikadong supply chain ng software.
Hiwalay na binibigyang-diin ng IBM ang laki ng problema: ang kumpanya mismo ay gumagamit ng higit pa 62 libong open source na pakete at inaangkin ang malalim na kadalubhasaan sa higit sa 10 libo sa kanila. Kabilang sa mga halimbawa ng mga larangan kung saan nakapag-ipon na ng kadalubhasaan ang IBM at Red Hat Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink at Cassandra.
Ang Project Lightwell ay tila isang pagtatangka na gawing isang nakapag-iisang produkto ng korporasyon ang pagpapanatili at pag-verify ng mga open source dependencies. Ang isang mahalagang tanong para sa komunidad ay kung gaano kabilis tunay na maitutulak ang mga pag-aayos, sa halip na manatili sa loob ng bayad na balangkas ng IBM/Red Hat. Sa opisyal na paglalarawan ng proyekto, nangangako ang mga kumpanya na sabay na maghahatid ng mga na-verify na pag-aayos sa mga kliyente at mag-aambag ng mga patch sa mga open source na proyekto sa pamamagitan ng isang responsableng proseso ng pagsisiwalat.
Pinagmulan: linux.org.ru
