IBM 和红帽公司宣布启动一项计划 光井计划在此框架内,各公司计划进行投资 5十亿 该项目旨在捍卫开源软件和软件供应链。它被定位为一个“可信协调中心”,用于识别、验证和修复企业客户使用的开源组件中的漏洞。
物质 光井计划 — 将红帽公司成熟的企业开源支持模式扩展到自身产品之外。此前,该公司主要针对自身平台的组件进行测试、签名、交付和向上游提交补丁,但现在他们希望将这种方法应用于更广泛的依赖项:独立库、语言工具链、人工智能框架和流数据处理平台。
IBM 和 Red Hat 计划允许企业客户报告其软件特定版本中发现的安全问题,接收经过验证的修复程序,并将其集成到现有的构建和交付流程中。Red Hat 特别指出,客户可以将他们的构建工具(包括 Artifactory、Nexus 或 Maven)提交到 Red Hat 的安全注册表;Red Hat 将扫描、移植、测试、签名并交付指定软件包版本的修复程序。
光井项目将作为 商业订阅. 路透社报道 IBM软件高级副总裁罗伯·托马斯在一份声明中表示,该服务预计将在“未来30天内”正式上线,定价可能基于所使用的软件包数量。IBM称,客户将能够获得一种认证机构的保证,确保其开源组件可以安全地用于生产环境。
该项目已宣布有超过 100 家机构参与。 两万名工程师 IBM 和 Red Hat 都采用了人工智能技术进行大规模漏洞分析、分类、优先级排序和补丁验证。Red Hat 强调,人工智能被视为加速初始数据处理的工具,而关键决策应由了解上游开发、向后兼容性和负责任的漏洞披露流程的工程师做出。
“光井计划”的首批参与者是大型金融机构,其中包括 美国银行、纽约银行、花旗银行、高盛集团、摩根大通银行、万事达卡、摩根士丹利、加拿大皇家银行、道富银行、维萨卡和富国银行通过这些实施,IBM 和 Red Hat 计划实践识别、验证和修复复杂软件供应链中漏洞的流程。
IBM 特别强调了问题的严重性:该公司自身使用的资源更多 62万个开源软件包 并声称在多个领域拥有深厚的专业知识 10 其中。IBM 和 Red Hat 已积累专业知识的领域包括: LinuxJava、Kubernetes、Kafka、Ansible、Terraform、Flink 和 Cassandra。
Lightwell 项目本质上似乎是将开源依赖项的维护和验证转化为一个独立的商业产品。对于社区而言,一个关键问题是:修复程序究竟能以多快的速度真正推送到上游,而不是仅仅停留在 IBM/Red Hat 的付费框架内。在官方项目描述中,这些公司承诺将通过负责任的披露流程,同时向客户提供经过验证的修复程序,并向开源项目贡献补丁。
来源: linux.org.ru
