IBM 和紅帽公司宣布啟動一項計劃 光井計劃在此框架內,各公司計劃進行投資 5億美元 該專案旨在捍衛開源軟體和軟體供應鏈。它被定位為一個“可信任協調中心”,用於識別、驗證和修復企業客戶使用的開源元件中的漏洞。
心臟 光井計劃 — 將紅帽公司成熟的企業開源支援模式擴展到自身產品之外。在此之前,該公司主要針對自身平台的元件進行測試、簽署、交付和向上游提交補丁,但現在他們希望將這種方法應用於更廣泛的依賴項:獨立庫、語言工具鏈、人工智慧框架和串流資料處理平台。
IBM 和 Red Hat 計畫讓企業客戶可以報告其軟體特定版本中發現的安全性問題,接收經過驗證的修復程序,並將其整合到現有的建置和交付流程中。 Red Hat 特別指出,客戶可以將他們的建置工具(包括 Artifactory、Nexus 或 Maven)提交給 Red Hat 的安全註冊表;Red Hat 將掃描、移植、測試、簽署並交付指定軟體包版本的修復程式。
光井工程將作為 商業訂閱. 路透社報道 IBM軟體高級副總裁羅伯·托馬斯在聲明中表示,該服務預計將在「未來30天內」正式上線,定價可能基於所使用的軟體包數量。 IBM稱,客戶將能夠獲得一種認證機構的保證,確保其開源元件可以安全地用於生產環境。
該計畫已宣布有超過 100 家機構參與。 兩萬名工程師 IBM 和 Red Hat 都採用了人工智慧技術進行大規模漏洞分析、分類、優先排序和修補程式驗證。 Red Hat 強調,人工智慧被視為加速初始資料處理的工具,而關鍵決策應由了解上游開發、向後相容性和負責任的漏洞揭露流程的工程師做出。
「光井計畫」的首批參與者是大型金融機構,其中包括 美國銀行、紐約銀行、花旗銀行、高盛集團、摩根大通銀行、萬事達卡、摩根士丹利、加拿大皇家銀行、道富銀行、維薩卡和富國銀行透過這些實施,IBM 和 Red Hat 計畫實踐識別、驗證和修復複雜軟體供應鏈中漏洞的流程。
IBM 特別強調了問題的嚴重性:該公司本身使用的資源更多 62萬個開源軟體包 並聲稱在多個領域擁有深厚的專業知識 10 其中。 IBM 和 Red Hat 已累積專業知識的領域包括: LinuxJava、Kubernetes、Kafka、Ansible、Terraform、Flink 和 Cassandra。
Lightwell 專案本質上似乎是將開源依賴項的維護和驗證轉化為一個獨立的商業產品。對社群而言,一個關鍵問題是:修復程式究竟能以多快的速度真正推送到上游,而不是只停留在 IBM/Red Hat 的付費框架內。在官方專案描述中,這些公司承諾將透過負責任的揭露流程,同時向客戶提供經過驗證的修復程序,並向開源專案貢獻修補程式。
來源: linux.org.ru
