Корпорации IBM и Red Hat анонсировали запуск Project Lightwell, в рамках которого планируется вложить 5 миллиардов долларов в развитие программного обеспечения с открытым исходным кодом. Проект будет базироваться на современных возможностях искусственного интеллекта и задействовать коллектив из более чем 20 тысяч разработчиков по всему миру. Это позволит сформировать новый подход к работе корпоративных клиентов с open source — начиная от этапа разработки и заканчивая промышленным применением.
В рамках инициативы Project Lightwell будет организован доверенный «клиринговый» информационный хаб, а глобальная сеть разработчиков поможет ликвидировать уязвимости. Данная платформа выступит в роли «координационного слоя» для обеспечения безопасности, применяя передовые ИИ-алгоритмы для анализа и тестирования исправлений для значительных объемов открытого кода. Функционал будет предлагаться по платным подпискам, что даст возможность корпоративным заказчикам встраивать обновления безопасности в свои текущие цепочки поставок ПО. Кроме того, им будет предоставлен корпоративный уровень валидации и управления жизненным циклом программных продуктов.
В IBM и Red Hat отметили, что именно open source составляет фундамент современной IT-инфраструктуры, и открытый код применяют свыше 90% организаций из списка Fortune 500. При этом развитие передовых технологий ИИ ускоряет как поиск, так и эксплуатацию уязвимостей. К примеру, специализированная модель Mythos Preview от компании Anthropic обнаружила в open source-программах почти 3,9 тысячи уязвимостей высокого и критического уровня.
IBM и Red Hat начали сотрудничество с Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa и Wells Fargo — эти компании стали одними из первых участников Project Lightwell. Ожидается, что накопленный опыт данных организаций поможет выработать протоколы для обнаружения, проверки и устранения уязвимостей в сложных цепочках поставок открытого ПО.
Источник изображения: IBM
Проект опирается на уже наработанные компетенции IBM и Red Hat в области open source, корпоративных ИИ-продуктов и кибербезопасности. Также учитывается опыт таких инициатив, как Anthropic Project Glasswing и OpenAI Trust Access for Cyber. В частности, в рамках проекта планируется задействовать агентные ИИ-инструменты для защиты ключевых компонентов open source, которые лежат в основе современных корпоративных и ИИ-систем.
Центральным аспектом станет формирование «клирингового» узла для обеспечения безопасности open source. Модели открытого программного обеспечения от IBM и Red Hat выходят за рамки их собственных экосистем. IBM уже применяет свыше 62 тысяч открытых пакетов и обладает значительным опытом работы с 10 тысячами из них. Эти компании управляют одними из крупнейших в индустрии открытых экосистем, контролируя жизненные циклы, проверку и выпуск исправлений для своих компонентов, используя технологии на базе Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra и других.
Теперь планируется внедрить аналогичную методику для работы с открытым кодом из сторонних источников. Пользователи смогут уведомлять об уязвимостях в активных версиях программного обеспечения, чтобы их устраняли через доверенный посреднический механизм, получать проверенные патчи для решений Red Hat и независимого кода, а также координировать раскрытие данных об устранении проблем. В то время как многие компании используют ИИ для сокращения штата, IBM и Red Hat делают упор на использование команды из более чем 20 тысяч разработчиков, усиленной инструментами искусственного интеллекта.
В обязанности этой международной группы войдет сопровождение продуктов совместно с лидерами сообществ open source; анализ, классификация и ранжирование уязвимостей; создание обновлений безопасности и управление релизами. Сообщается, что Project Lightwell поддерживает государственные (естественно, американские) приоритеты по защите цифровой инфраструктуры, критически важных систем и повышению устойчивости экосистем открытого кода в целом.
Примечательно, что еще в январе появлялась информация о том, что Евросоюз делает ставку на open source, чтобы снизить зависимость от IT-гигантов из США. Теперь выходит, что блок в определенной мере может оказаться в зависимости, но уже от других американских IT-компаний.
Источник:
