IBM ve Red Hat bir girişimin başlatıldığını duyurdu. Proje Işık KuyusuŞirketlerin yatırım yapmayı planladığı çerçeve kapsamında 5 milyar Açık kaynak yazılımların ve yazılım tedarik zincirlerinin savunulması amacıyla geliştirilen proje, kurumsal müşteriler tarafından kullanılan açık kaynak bileşenlerindeki güvenlik açıklarını belirlemek, doğrulamak ve gidermek için "güvenilir bir koordinasyon merkezi" olarak sunulmaktadır.
kalp Proje Işık Kuyusu — Red Hat'in kurumsal açık kaynak desteği modelini kendi ürünlerinin ötesine genişletmek. Şirket daha önce yamaları öncelikle kendi platformlarının bileşenleri için test edip, imzalayıp, teslim edip yukarı akışa gönderirken, şimdi bu yaklaşımı daha geniş bir bağımlılık kümesine uygulamak istiyor: bağımsız kütüphaneler, dil araç zincirleri, yapay zeka çerçeveleri ve akış verisi işleme platformları.
IBM ve Red Hat, kurumsal müşterilerin yazılımlarının belirli sürümlerinde bulunan güvenlik sorunlarını bildirmelerine, doğrulanmış düzeltmeleri almalarına ve bunları mevcut derleme ve dağıtım zincirlerine entegre etmelerine olanak sağlamayı planlıyor. Red Hat özellikle, müşterilerin Artifactory, Nexus veya Maven dahil olmak üzere derleme araçlarını Red Hat'in güvenli kayıt defterine gönderebileceklerini belirtiyor; şirket daha sonra atanan paket sürümleri için tarama, geriye dönük uyumluluk sağlama, test etme, imzalama ve düzeltilmiş yapıtları teslim etme işlemlerini gerçekleştirecek.
Project Lightwell şu şekilde sunulacaktır: ticari abonelik. Reuters'e atıfta bulunarak IBM Yazılım Kıdemli Başkan Yardımcısı Rob Thomas'ın yaptığı açıklamaya göre, hizmetin "önümüzdeki 30 gün içinde" ticari olarak kullanıma sunulması bekleniyor ve fiyatlandırmanın muhtemelen kullanılan paket sayısına bağlı olacağı belirtiliyor. IBM'e göre, müşteriler açık kaynak kodlu bileşenlerinin üretimde kullanım için güvenli olduğuna dair bir tür güvence alabilecekler.
Projeye 100'den fazla kişinin katılacağı açıklandı. 20 bin mühendis IBM ve Red Hat, yapay zekayı kitlesel güvenlik açığı analizi, önceliklendirme, yama doğrulama ve sınıflandırma için kullanıyor. Red Hat, yapay zekanın ilk veri işlemeyi hızlandırmak için bir araç olarak görüldüğünü, kritik kararların ise yukarı akış geliştirme, geriye dönük uyumluluk ve sorumlu güvenlik açığı açıklama prosedürlerinin bağlamını anlayan mühendislerde kalması gerektiğini vurguluyor.
Project Lightwell'e ilk katılanlar arasında büyük finans kuruluşları yer alıyordu. Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa ve Wells FargoIBM ve Red Hat, bu uygulamalarla karmaşık yazılım tedarik zincirlerindeki güvenlik açıklarını belirleme, doğrulama ve giderme süreçlerini uygulamayı amaçlıyor.
IBM, sorunun boyutunu ayrıca vurguluyor: şirketin kendisi daha fazla kaynak kullanıyor. 62 bin açık kaynak kodlu paket ve 10'dan fazla alanda derin uzmanlığa sahip olduğunu iddia ediyor. 10 bin Bunlardan bazıları. IBM ve Red Hat'in halihazırda uzmanlık biriktirdiği alanlara örnek olarak şunlar verilebilir: LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink ve Cassandra.
Project Lightwell, özünde açık kaynak bağımlılıklarının bakımını ve doğrulanmasını bağımsız bir kurumsal ürüne dönüştürme girişimi gibi görünüyor. Topluluk için en önemli soru, düzeltmelerin ücretli IBM/Red Hat çerçevesi içinde kalmak yerine ne kadar hızlı bir şekilde ana kaynak kodlu projelere aktarılacağı olacak. Resmi proje açıklamasında şirketler, doğrulanmış düzeltmeleri eş zamanlı olarak müşterilere sunmayı ve sorumlu bir açıklama süreciyle açık kaynak projelerine yama katkısında bulunmayı vaat ediyor.
Kaynak: linux.org.ru
