Проект Lightwell: IBM и Red Hat вкладывают $5 млрд в безопасность открытого ПО

IBM и принадлежащая ей Red Hat объявили о Project Lightwell — инициативе стоимостью $5 млрд, нацеленной на поиск и устранение уязвимостей в открытом ПО с помощью ИИ и более чем 20 тыс. инженеров. Центральным элементом станет «доверенный клиринговый центр», через который компании смогут получать проверенные патчи по коммерческой подписке. Среди первых участников — крупные финансовые организации, включая JPMorgan Chase, Goldman Sachs, Citi и Visa.

Компания IBM и принадлежащий ей разработчик открытого ПО Red Hat объявили о запуске инициативы Project Lightwell — программы стоимостью $5 млрд, направленной на защиту открытого программного обеспечения, на котором строится корпоративная и ИИ-инфраструктура. Проект объединяет инструменты на основе ИИ и глобальную команду из более чем 20 тыс. инженеров, которые будут заниматься поиском и исправлением уязвимостей в открытом коде.

Ядром Project Lightwell станет так называемый доверенный клиринговый центр (clearinghouse) — координирующий слой безопасности, который с помощью ИИ-инструментов будет валидировать и тестировать исправления для большого объёма открытого кода. Доступ к этим возможностям планируется предоставлять по коммерческой подписке: предприятия смогут встраивать проверенные патчи непосредственно в свои цепочки поставок ПО с корпоративной валидацией и управлением жизненным циклом. По описанию инициативы, клиринговый центр будет позволять организациям сообщать о чувствительных уязвимостях, получать проверенные исправления как для кода Red Hat, так и для независимых сообществ, а также координировать ответственное раскрытие уязвимостей в апстриме.

IBM и Red Hat сообщают, что уже сотрудничают в рамках Project Lightwell с рядом ранних участников из финансового сектора — в их числе названы Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa и Wells Fargo. Опыт этих первых внедрений, по заявлению компаний, будет влиять на то, как уязвимости выявляются, проверяются и устраняются в сложных цепочках поставок ПО.

В IBM подают инициативу как продолжение собственной модели работы с открытым ПО, выходящее за пределы традиционного продуктового портфеля. Компания отмечает, что использует более 62 тыс. открытых пакетов и располагает экспертизой более чем по 10 тыс. из них, охватывая такие технологии, как Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink и Cassandra. Теперь тот же подход к управлению жизненным циклом, валидации и выпуску патчей предлагается распространить на более широкий ландшафт приложений, включая независимые открытые библиотеки, языковые инструментарии, ИИ-фреймворки и платформы потоковой обработки данных.

Поводом для инициативы компании называют рост рисков, связанных с тем, что современные ИИ-модели ускоряют как обнаружение, так и эксплуатацию уязвимостей. По данным IBM, Project Lightwell учитывает наработки таких программ, как Project Glasswing компании Anthropic (разработчик ИИ-моделей семейства Claude) и Trust Access for Cyber компании OpenAI, и опирается на агентные методы обеспечения безопасности IBM. Подробности доступны на странице продукта.

Примечательно, что инициатива заявлена в момент, когда многие технологические компании используют ИИ для сокращения инженерного штата; IBM и Red Hat, напротив, позиционируют масштабную инженерную команду как стратегический актив и элемент рыночной дифференциации.