IBM và Red Hat đã công bố khởi động một sáng kiến. Dự án Lightwell, trong khuôn khổ đó các công ty dự định đầu tư 5 tỷ USD Nhằm bảo vệ phần mềm mã nguồn mở và chuỗi cung ứng phần mềm, dự án được giới thiệu như một "trung tâm điều phối đáng tin cậy" để xác định, kiểm chứng và khắc phục các lỗ hổng trong các thành phần mã nguồn mở được khách hàng doanh nghiệp sử dụng.
tim Dự án Lightwell — Mở rộng mô hình hỗ trợ mã nguồn mở doanh nghiệp đã được thiết lập của Red Hat vượt ra ngoài phạm vi sản phẩm của riêng mình. Trong khi trước đây công ty đã thử nghiệm, ký duyệt, phân phối và gửi các bản vá lỗi lên nguồn chính chủ yếu cho các thành phần của nền tảng riêng mình, giờ đây họ muốn áp dụng cách tiếp cận này cho một tập hợp các thành phần phụ thuộc rộng hơn: các thư viện độc lập, chuỗi công cụ ngôn ngữ, khung AI và nền tảng xử lý dữ liệu trực tuyến.
IBM và Red Hat dự định cho phép khách hàng doanh nghiệp báo cáo các vấn đề bảo mật được tìm thấy trong các phiên bản phần mềm cụ thể của họ, nhận các bản vá lỗi đã được xác minh và tích hợp chúng vào chuỗi xây dựng và phân phối hiện có. Red Hat nêu rõ rằng khách hàng sẽ có thể gửi các công cụ xây dựng của họ, bao gồm Artifactory, Nexus hoặc Maven, đến kho lưu trữ an toàn của Red Hat; sau đó, công ty sẽ quét, sao chép ngược, kiểm tra, ký và phân phối các bản vá lỗi cho các phiên bản gói được chỉ định.
Dự án Lightwell sẽ được chào bán như sau: đăng ký thương mại. Reuters dẫn nguồn Một tuyên bố từ Phó Chủ tịch cấp cao của IBM Software, Rob Thomas, cho biết dịch vụ này dự kiến sẽ được cung cấp thương mại "trong vòng 30 ngày tới", với giá cả có thể dựa trên số lượng gói được sử dụng. Theo IBM, khách hàng sẽ nhận được một hình thức đảm bảo từ trung tâm thanh toán bù trừ rằng các thành phần mã nguồn mở của họ an toàn để sử dụng trong môi trường sản xuất.
Dự án đã công bố sự tham gia của hơn... 20 nghìn kỹ sư IBM và Red Hat, cũng như việc sử dụng AI để phân tích lỗ hổng bảo mật quy mô lớn, phân loại, ưu tiên và xác thực bản vá. Red Hat nhấn mạnh rằng AI được xem như một công cụ để tăng tốc quá trình xử lý dữ liệu ban đầu, trong khi các quyết định quan trọng vẫn nên thuộc về các kỹ sư hiểu rõ bối cảnh phát triển nguồn gốc, khả năng tương thích ngược và các quy trình tiết lộ lỗ hổng một cách có trách nhiệm.
Những người tham gia đầu tiên vào Dự án Lightwell là các tổ chức tài chính lớn, bao gồm Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa và Wells FargoThông qua các biện pháp này, IBM và Red Hat dự định thực hành các quy trình nhằm xác định, kiểm chứng và khắc phục các lỗ hổng trong chuỗi cung ứng phần mềm phức tạp.
IBM đặc biệt nhấn mạnh quy mô của vấn đề: chính công ty này sử dụng nhiều hơn 62 nghìn gói phần mềm mã nguồn mở và tự nhận có chuyên môn sâu rộng trong hơn... 10 nghìn Một số ví dụ về các lĩnh vực mà IBM và Red Hat đã tích lũy được chuyên môn bao gồm: LinuxJava, Kubernetes, Kafka, Ansible, Terraform, Flink và Cassandra.
Về cơ bản, dự án Lightwell dường như là một nỗ lực nhằm biến việc bảo trì và xác minh các phụ thuộc mã nguồn mở thành một sản phẩm độc lập của doanh nghiệp. Một câu hỏi quan trọng đối với cộng đồng là các bản vá lỗi sẽ được đưa lên nguồn chính nhanh đến mức nào, thay vì chỉ nằm trong khuôn khổ trả phí của IBM/Red Hat. Trong mô tả chính thức của dự án, các công ty hứa sẽ đồng thời cung cấp các bản vá lỗi đã được xác minh cho khách hàng và đóng góp các bản vá cho các dự án mã nguồn mở thông qua một quy trình công khai có trách nhiệm.
Nguồn: linux.org.ru
