IBM und Red Hat starten ein 5-Milliarden-Dollar-Open-Source-Sicherheitsprojekt

IBM und Red Hat geben das Projekt „Lightwell“ bekannt, eine 5-Milliarden-Dollar-Initiative zur Sicherung der Lieferketten für Open-Source-Software mithilfe KI-gestützter Entwicklung.
Eine Übersetzung von 🇬🇧 Linuxiac.com

IBM und Red Hat haben Project Lightwell angekündigt, eine mit 5 Milliarden US-Dollar dotierte Initiative, die darauf abzielt, Open-Source-Software zu sichern, die in Unternehmensinfrastrukturen, Cloud-Plattformen und KI-Systemen zum Einsatz kommt.

IBM beschreibt das Projekt als vertrauenswürdige zentrale Anlaufstelle für die Sicherheit von Open-Source-Software in Unternehmen. Es verbindet KI-gestützte Schwachstellenanalysen mit einem globalen Team aus über 20.000 Ingenieuren von IBM und Red Hat, um Schwachstellen zu identifizieren, zu validieren, zu beheben und Korrekturen über Open-Source-Lieferketten hinweg zu koordinieren.

Project Lightwell will establish a trusted enterprise clearinghouse combined with a global force of engineers to identify and fix vulnerabilities at scale. The clearinghouse will serve as a security coordination layer, using advanced AI capabilities to validate and test fixes across an unprecedented volume of open source code.

Das Projekt richtet sich eher an Unternehmen als an die allgemeine Open-Source-Community. IBM wird den Dienst im Rahmen kommerzieller Abonnements anbieten, wodurch Unternehmen die Möglichkeit erhalten, validierte Sicherheitspatches mithilfe von Lebenszyklusmanagement und produktionsreifen Tests in ihre Software-Lieferketten zu integrieren.

IBM und Red Hat geben an, dass das Projekt ein breites Spektrum an Technologien abdecken wird, darunter Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra, unabhängige Bibliotheken, Sprach-Toolchains, KI-Frameworks und Daten-Streaming-Plattformen.

Das Clearinghouse-Modell konzentriert sich auf drei Hauptfunktionen: Unternehmen die Möglichkeit zu geben, sensible Schwachstellen in ihrer Software zu melden, validierte Patches sowohl für Red Hat- als auch für unabhängigen Community-Code bereitzustellen und die Offenlegung gegenüber den Upstream-Entwicklern zu koordinieren, damit die Korrekturen an Open-Source-Projekte weitergegeben werden.

IBM positioniert die Initiative als Reaktion auf die zunehmende Abhängigkeit von Open-Source-Software in modernen Infrastrukturen und das rasante Tempo, mit dem KI-Tools Schwachstellen identifizieren und ausnutzen können. Das Unternehmen verweist auf die weit verbreitete Nutzung von Open-Source-Software in Fortune-500-Unternehmen und nennt aktuelle KI-gestützte Schwachstellenforschung als Beleg für den steigenden Sicherheitsdruck auf Software-Lieferketten.

Das Projekt Lightwell wird derzeit mit Early Adopters aus dem Finanzsektor getestet, darunter die Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, die Royal Bank of Canada, State Street, Visa und Wells Fargo. IBM gibt an, dass die Rückmeldungen aus diesen Implementierungen in die groß angelegte Identifizierung, Validierung und Behebung von Sicherheitslücken einfließen werden.

Für Red Hat, einen führenden Open-Source-Anbieter, bedeutet dies eine Erweiterung seines etablierten Geschäftsmodells der unternehmensgestützten Open Source. Während Red Hat bereits den Lebenszyklus, die Validierung und das Patchen für seine eigenen Plattformkomponenten verwaltet, wendet das Projekt Lightwell diese technischen Prozesse auf Open-Source-Komponenten außerhalb seiner traditionellen Produktgrenzen an.

IBM erklärt, dass die Entwicklungsteams KI-gestützte Überprüfung, Triage und Priorisierung nutzen werden, um Schwachstellen in großem Maßstab zu verwalten, während sie sich gleichzeitig auf Upstream-Wartung, Patch-Entwicklung, Absicherung von Abhängigkeiten und Release-Engineering konzentrieren.

Schließlich stellt die Ankündigung klar, dass Project Lightwell nicht dazu gedacht ist, Upstream-Maintainer oder bestehende Open-Source-Sicherheitsprozesse zu ersetzen. Stattdessen präsentieren IBM und Red Hat es als eine Koordinations- und Validierungsebene für Unternehmen, die Unternehmen, die auf Open-Source-Software setzen, mit den Upstream-Communities verbindet, die diese Software pflegen.

Weitere Details finden Sie in der Ankündigung von IBM.

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen