IBM и Red Hat вложат $5 млрд в коммерческий сервис защиты open source-компонентов
IBM и Red Hat создают коммерческий сервис Project Lightwell для защиты цепочек поставок ПО с открытым исходным кодом. Он рассчитан на компании, которые используют open source-библиотеки, фреймворки и ИИ-компоненты в рабочих системах. Сервис должен помогать находить уязвимости, проверять исправления и быстрее закрывать такие проблемы в корпоративной среде.
IBM и Red Hat создают коммерческий сервис Project Lightwell для защиты цепочек поставок ПО с открытым исходным кодом. Речь идет о библиотеках, фреймворках, языковых инструментах, платформах обработки данных и ИИ-компонентах, которые входят в состав корпоративных приложений и инфраструктуры. Компании объявили, что направят на это направление $5 млрд и привлекут к работе более 20 тыс. инженеров.
Project Lightwell рассчитан на крупные организации, в чьих продуктах и внутренних системах используются open source-библиотеки, фреймворки, языковые инструменты, платформы обработки данных и ИИ-компоненты. IBM указывает, что более 90% компаний Fortune 500 зависят от ПО с открытым исходным кодом.
Сервис должен выявлять уязвимости в open source-компонентах с помощью ИИ-инструментов и инженеров IBM и Red Hat. Заявленная задача Project Lightwell – не только найти проблему в коде, но и довести ее до исправления: оценить опасность уязвимости, проверить патч, при необходимости подготовить исправление и помочь передать его в основной open source-проект.
Механизм взаимодействия пока описан только в общих чертах. Из сообщений IBM и Red Hat следует, что Project Lightwell должен стать связующим звеном между корпоративными пользователями open source-ПО и разработчиками открытых проектов. При этом компании пока не раскрыли, как именно заказчики будут передавать сведения о своих open source-зависимостях, где будут проверяться патчи и как будет организовано внедрение исправлений в инфраструктуре клиентов.
IBM и Red Hat планируют использовать ИИ для анализа больших объемов кода. ИИ-инструменты должны помогать выявлять уязвимости, расставлять приоритеты и проверять исправления. Инженеры будут анализировать найденные проблемы, готовить безопасные изменения, укреплять зависимости и участвовать в выпуске исправленных версий.
Ожидаемый эффект для заказчиков – более предсказуемая работа с open source-уязвимостями. Компания должна получать не только информацию о проблеме в используемом компоненте, но и проверенное исправление, которое можно быстрее внедрить в рабочую среду. По замыслу IBM и Red Hat, это должно снизить риски в цепочках поставок ПО, где уязвимость в одной библиотеке с открытым исходным кодом может затронуть сразу несколько корпоративных систем или продуктов.
Участниками первых пилотных внедрений названы Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa и Wells Fargo. Их опыт должен использоваться для настройки процессов поиска, проверки и устранения уязвимостей в сложных корпоративных цепочках поставок ПО.
Project Lightwell планируется развивать как платный сервис по подписке для корпоративных клиентов. Коммерческий запуск ожидается в течение 30 дней, а стоимость, вероятно, будет зависеть от числа используемых пакетов. Проект по замыслу инциаторов должен сократить разрыв между скоростью появления уязвимостей в open source-коде и возможностями компаний по их безопасному исправлению.
