IBM и Red Hat запускают Project Lightwell: $5 млрд на безопасность open source — корпорациям предложат софинансирование патчей
Корпорации IBM и Red Hat анонсировали запуск Project Lightwell, в рамках которого планируется вложить $5 млрд в развитие программного обеспечения с открытым исходным кодом. Данная инициатива будет базироваться на передовых технологиях искусственного интеллекта и задействует команду, насчитывающую свыше 20 тыс. разработчиков по всему миру. Благодаря этому удастся сформировать новый подход корпоративных пользователей к работе с open source — начиная с этапа разработки и заканчивая промышленным использованием.
В ходе реализации Project Lightwell планируется создать надежный «клиринговый» информационный узел, а глобальная сеть разработчиков будет способствовать ликвидации уязвимостей. Эта площадка выступит в роли «координационного слоя» для обеспечения безопасности, применяя современные ИИ-возможности для верификации и тестирования патчей для значительных объемов открытого кода. Данные функции будут предоставляться по платным подпискам, что даст корпоративным заказчикам возможность встраивать обновления безопасности в свои текущие цепочки поставок ПО. При этом им будет обеспечен корпоративный уровень проверки и управления жизненным циклом программного обеспечения.
IBM и Red Hat отметили, что именно open source составляет фундамент современной IT-инфраструктуры, и открытый код применяют более 90 % компаний из перечня Fortune 500. В то же время прогресс в области ИИ-технологий ускоряет как поиск, так и эксплуатацию уязвимостей. К примеру, специализированная модель Mythos Preview от компании Anthropic обнаружила в open source-программах почти 3,9 тыс. уязвимостей высокого и критического уровня.
IBM и Red Hat начали сотрудничество с Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa и Wells Fargo — эти организации стали одними из первых участников Project Lightwell. Предполагается, что опыт данных структур поможет выработать протоколы выявления, проверки и исправления уязвимостей в сложных цепочках поставок открытого ПО.
Источник изображения: IBM
Инициатива опирается на уже накопленный опыт IBM и Red Hat в области open source, корпоративных ИИ-продуктов и кибербезопасности. Кроме того, в работу берутся наработки таких проектов, как Anthropic Project Glasswing и OpenAI Trust Access for Cyber. В частности, проект предусматривает применение агентных ИИ-инструментов для защиты ключевых компонентов open source, которые лежат в основе современных корпоративных и ИИ-систем.
Центральным звеном станет организация «клирингового» хаба для обеспечения безопасности open source. Модели открытого программного обеспечения, применяемые IBM и Red Hat, выходят за рамки их собственных платформ. IBM активно использует свыше 62 тысяч open source-пакетов и обладает значительным опытом работы с 10 тысячами из них. Эти компании управляют одними из крупнейших открытых экосистем в отрасли, контролируя жизненные циклы, валидацию и выпуск обновлений для своих компонентов, используя технологии на базе Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra и других.
Теперь планируется применить аналогичную стратегию к работе с открытым кодом из сторонних источников. Клиенты смогут уведомлять об уязвимостях в активных версиях программного обеспечения для их исправления через доверенный посреднический механизм, получать проверенные патчи для решений Red Hat и стороннего кода, а также координировать раскрытие информации об устранении уязвимостей. В то время как многие компании используют ИИ для сокращения персонала, IBM и Red Hat делают упор на привлечение базы из более чем 20 тысяч разработчиков, усиленной инструментами искусственного интеллекта.
Задачи этой международной команды будут включать сопровождение продуктов совместно с лидерами сообществ open source; анализ, классификацию и ранжирование уязвимостей; разработку обновлений безопасности и управление релизами. Сообщается, что Project Lightwell поддерживает государственные (разумеется, американские) приоритеты по защите цифровой инфраструктуры, критически важных систем и повышению устойчивости экосистем open source в целом.
Интересно, что ещё в январе поступали сведения о том, что Евросоюз делает ставку на open source для снижения зависимости от американских IT-гигантов. Теперь же выходит, что блок может частично оказаться в зависимости, но уже от других американских IT-компаний.
Источник: