Основные моменты
- Проект Lightwell направлен на защиту программного обеспечения с открытым исходным кодом.
- IBM и Red Hat инвестируют в эту масштабную инициативу по безопасности.
- Служба имеет подписочную модель, детали пока не известны.
- Искусственный интеллект как помощник и нагрузка для разработчиков.
Проблемы с безопасностью
Как отметил Даниэль Штейнберг, основатель популярной программы cURL, количество сообщений о безопасности увеличилось в четыре-пять раз по сравнению с 2024 годом.
Штейнберг обеспокоен перегрузкой рабочей нагрузки и призывает компании финансировать команду разработчиков для распределения объема работы.
Что такое проект Lightwell?
IBM и Red Hat разработали Lightwell как проект, основанный на ИИ, для поиска и устранения уязвимостей в открытом программном обеспечении. Они хотят создать централизованный ресурс для повышения безопасности программного обеспечения, используемого в современных корпоративных IT-системах.
Финансирование
Компании инвестируют 5 миллиардов долларов в разработку моделей ИИ и требований к безопасности. Кроме того, на проект будут выделены 20,000 инженеров, которые будут работать над задачами, связанными с открытым программным обеспечением.
Как Lightwell работает?
- Компании предоставляют информацию о используемом ПО.
- Инженеры Lightwell используют ИИ для поиска уязвимостей.
- Предлагаются исправления и осуществляется их интеграция в проекты.
Основные функции Lightwell
| Функция | Описание |
|---|---|
| Обнаружение уязвимостей | Поиск уязвимостей в системах и библиотеках. |
| Приоритизация | Расстановка приоритетов для устранения уязвимостей. |
| Разработка патчей | Создание исправлений и их проверка. |
Роль человека в процессе
Human-in-the-loop подход остается важным, только опытные инженеры принимают окончательные решения о том, что считать безопасным исправлением.
Взаимодействие с открытими сообществами
Проект Lightwell может улучшить открытое программное обеспечение, так как будет поддерживать его и оказывать помощь разработчикам.
Подход к проблеме
IBM и Red Hat планируют действовать как посредники между предприятиями и сообществом разработчиков.
Подписочные услуги
Клиенты получат доступ к проверенным патчам через подписку, которая интегрируется в существующие цепочки поставок программного обеспечения.
Цены и предложения
- Подписка будет оцениваться по количеству используемых пакетов.
- Клиенты получат «печать одобрения», подтверждающую безопасность ПО.
Заключение
Пока неясно, какую роль будут играть разработчики с открытым исходным кодом в этом подходе, и смогут ли они адаптироваться к новым реалиям.