IBM(NYSE:IBM)和 Red Hat 宣布啟動「Project Lightwell」,這是一項價值 50 億美元的投資計劃,旨在藉助前沿人工智慧技術和一支由超過 2 萬名工程師組成的全球團隊,幫助企業安全地使用開源軟體。這些投資將共同建構一種全新的企業開源軟體使用模式,涵蓋從上游開發到生產環境的各個環節。
「Project Lightwell」將建立一個可信賴的企業級漏洞資訊交換中心,並結合全球工程師團隊,大規模識別和修復漏洞。此資訊交換中心將作為安全協調層,利用先進的人工智慧技術,對海量開源程式碼進行驗證和測試。這些功能將透過商業訂閱提供,使企業能夠將安全修補程式直接整合到其現有的軟體供應鏈中,並享受企業級的驗證和生命週期管理。
「Project Lightwell」專案基於 IBM 和 Red Hat 久經考驗的企業級開源模式,並將其擴展到傳統產品範圍之外。IBM 目前已使用超過 62,000 個開源軟體包,並在其中超過 10,000 個軟體包中擁有深厚的專業知識。在 Linux、Java、Kubernetes、Kafka、Ansible、Terraform、Flink、Cassandra 等眾多技術領域,IBM 和 Red Hat 經營著業界最廣泛的商業開源生態系統之一,長期以來一直為其平台內的元件提供生命週期管理、驗證和修補程式服務。
現在,IBM 和 Red Hat 正將同樣的工程方法應用於更廣泛的應用領域,包括獨立的開源程式庫、語言工具鏈、AI 框架和資料流平台。
透過這種資訊交換中心模式,企業組織可以:
- 報告和解決漏洞:在可信賴的中介框架內,負責任地分享在其活躍軟體版本中發現的敏感安全問題
- 部署已驗證的補丁:接收針對生產環境最佳化的補丁,涵蓋 Red Hat 產品和獨立社群程式碼
- 協調上游揭露:向上游共享修復程序,以便開源社群可以將其納入長期維護中
當發現漏洞時,Project Lightwell 會將修復程式移植到生產環境中已測試和部署的依賴項版本,從而提供已修補的工件,而無需升級。
IBM 和 Red Hat 團隊重點關注:
- 與開源社群領導者一起進行上游維護
- 大規模、人工智慧輔助的漏洞審查、分類和優先排序
- 安全修補程式開發、相依性加固和發布工程
「Project Lightwell」計畫支援政府優先事項,包括保障數位基礎設施安全、保護關鍵系統以及增強開源軟體生態系統的整體韌性。初期重點關注 Maven/Java 生態系統,因為受監管產業對版本鎖定修復的需求最為迫切。未來計劃擴展到 PyPI、npm、Go 等更多平台。
https://www.redhat.com/en/about/press-releases/project-lightwell-secure-open-source
Picture Source
unsplash