IBM и Red Hat объявили о запуске инициативы Project Lightwell, в рамках которой компании намерены вложить 5 млрд долларов в защиту открытого программного обеспечения и цепочек поставки ПО. Проект представлен как «доверенный центр координации» для поиска, проверки и исправления уязвимостей в open source-компонентах, используемых корпоративными заказчиками.
Суть Project Lightwell — распространить привычную для Red Hat модель сопровождения корпоративного open source за пределы собственных продуктов. Если раньше компания тестировала, подписывала, поставляла и отправляла исправления upstream главным образом для компонентов своих платформ, то теперь этот подход хотят применить к более широкому набору зависимостей: независимым библиотекам, языковым toolchain, AI-фреймворкам и платформам потоковой обработки данных.
По замыслу IBM и Red Hat, корпоративные клиенты смогут сообщать о найденных проблемах безопасности в конкретных версиях используемого ПО, получать проверенные исправления и встраивать их в свои существующие цепочки сборки и поставки. Red Hat отдельно указывает, что заказчики смогут направлять свои build-инструменты, включая Artifactory, Nexus или Maven, на защищённый реестр Red Hat; после этого компания будет сканировать, бэкпортировать, тестировать, подписывать и поставлять исправленные артефакты для закреплённых версий пакетов.
Project Lightwell будет предлагаться как коммерческая подписка. Reuters со ссылкой на старшего вице-президента IBM Software Роба Томаса пишет, что сервис должен стать коммерчески доступен «в течение ближайших 30 дней», а цена, вероятно, будет зависеть от числа используемых пакетов. По словам IBM, клиенты смогут получать своего рода подтверждение от clearinghouse, что их open source-компоненты безопасны для использования в production.
В проекте заявлено участие более 20 тысяч инженеров IBM и Red Hat, а также применение ИИ для массового анализа уязвимостей, сортировки, приоритизации и проверки исправлений. При этом Red Hat подчёркивает, что ИИ рассматривается как инструмент ускорения первичной обработки данных, а критические решения должны оставаться за инженерами с пониманием контекста upstream-разработки, совместимости бэкпортов и процедур ответственного раскрытия уязвимостей.
Первыми участниками Project Lightwell стали крупные финансовые организации, включая Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa и Wells Fargo. На этих внедрениях IBM и Red Hat собираются отрабатывать процессы выявления, проверки и устранения уязвимостей в сложных производственных цепочках поставки ПО.
Отдельно IBM подчёркивает масштаб проблемы: компания сама использует более 62 тысяч open source-пакетов и заявляет о глубокой экспертизе более чем по 10 тысячам из них. В качестве примеров областей, где уже накоплена компетенция IBM и Red Hat, называются Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink и Cassandra.
Фактически Project Lightwell выглядит как попытка превратить сопровождение и проверку open source-зависимостей в отдельный корпоративный продукт. Для сообщества важным вопросом станет то, насколько исправления действительно будут оперативно уходить в upstream, а не оставаться внутри платного контура IBM/Red Hat. В официальном описании проекта компании обещают одновременно поставлять проверенные исправления клиентам и передавать патчи в открытые проекты через процедуру ответственного раскрытия.
>>> Источник
