IBM та Red Hat оголосили про запуск ініціативи Project Lightwell, у рамках якої компанії мають намір вкласти 5 млрд доларів на захист відкритого програмного забезпечення та ланцюжків постачання ПЗ. Проект представлений як «довірений центр координації» для пошуку, перевірки та виправлення вразливостей у open source-компонентах, які використовуються корпоративними замовниками.
Суть Project Lightwell - Поширити звичну для Red Hat модель супроводу корпоративного open source за межі власних продуктів. Якщо раніше компанія тестувала, підписувала, постачала та відправляла виправлення upstream головним чином для компонентів своїх платформ, то тепер цей підхід хочуть застосувати до ширшого набору залежностей: незалежних бібліотек, мовних інструментів, AI-фреймворків та платформ потокової обробки даних.
За задумом IBM і Red Hat, корпоративні клієнти зможуть повідомляти про знайдені проблеми безпеки в конкретних версіях ПЗ, отримувати перевірені виправлення та вбудовувати їх у свої існуючі ланцюжки зборки та поставки. Red Hat окремо вказує на те, що замовники зможуть направляти свої build-інструменти, включаючи Artifactory, Nexus або Maven, на захищений реєстр Red Hat; після цього компанія скануватиме, бекпортуватиме, тестуватиме, підписуватиме і поставлятиме виправлені артефакти для закріплених версій пакетів.
Project Lightwell пропонуватиметься як комерційна передплата. Reuters з посиланням на старшого віце-президента IBM Software Роба Томаса пише, що сервіс має стати комерційно доступним «протягом найближчих 30 днів», а ціна, ймовірно, залежатиме від кількості пакетів, що використовуються. За словами IBM, клієнти зможуть отримувати свого роду підтвердження від clearinghouse, що їх Open source-компоненти безпечні для використання в production.
У проекті заявлено участь більше 20 тисяч інженерів IBM та Red Hat, а також застосування ІІ для масового аналізу вразливостей, сортування, пріорітизації та перевірки виправлень. Red Hat підкреслює, що ІІ розглядається як інструмент прискорення первинної обробки даних, а критичні рішення повинні залишатися за інженерами з розумінням контексту upstream-розробки, сумісності бекпортів і процедур відповідального розкриття вразливостей.
Першими учасниками Project Lightwell стали великі фінансові організації, у тому числі Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa та Wells Fargo. На цих впровадженнях IBM та Red Hat збираються відпрацьовувати процеси виявлення, перевірки та усунення вразливостей у складних виробничих ланцюжках постачання ПЗ.
Окремо IBM підкреслює масштаб проблеми: компанія сама використовує більше 62 тисячі open source-пакетів і заявляє про глибоку експертизу більш ніж за 10 тисячам їх. Як приклади областей, де вже накопичена компетенція IBM та Red Hat, називаються Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink та Cassandra.
Фактично Project Lightwell виглядає як спроба перетворити супровід та перевірку open source-залежностей на окремий корпоративний продукт. Для спільноти важливим питанням стане те, наскільки виправлення дійсно будуть оперативно йти в upstream, а не залишатися всередині платного контуру IBM/Red Hat. В офіційному описі проекту компанії обіцяють одночасно постачати перевірені виправлення клієнтам та передавати патчі у відкриті проекти через процедуру відповідального розкриття.
Джерело: linux.org.ru
