IBM och Red Hat lanserar Project Lightwell, en satsning på 5 miljarder dollar för att stärka säkerheten i öppen källkod. Genom att kombinera AI-assisterad kodanalys med tusentals ingenjörer vill företagen skapa ett betrott säkerhetslager för företag som är beroende av Linux, Kubernetes, Java, AI-ramverk och andra centrala open source-komponenter.
IBM och Red Hat lanserar Project Lightwell, ett omfattande initiativ på 5 miljarder dollar som ska stärka säkerheten i den öppna källkod som moderna företag, molnplattformar och AI-system bygger på. Projektet beskrivs som en ny typ av företagsinriktad säkerhetsplattform där AI-assisterad analys kombineras med mänsklig expertis från över 20 000 ingenjörer inom IBM och Red Hat.
Bakgrunden är att öppen källkod i dag är en grundläggande del av nästan all modern IT-infrastruktur. Operativsystem, molntjänster, utvecklingsverktyg, databaser, AI-ramverk och containerplattformar bygger ofta på komponenter som utvecklas öppet och används av tusentals organisationer världen över. Samtidigt har hotbilden förändrats. Sårbarheter kan upptäckas snabbare än tidigare, inte minst med hjälp av AI, och angripare kan utnyttja brister i mjukvarukedjan innan många organisationer hunnit reagera.
Project Lightwell ska fungera som ett slags betrott säkerhetslager för företag som är beroende av öppen källkod. IBM beskriver initiativet som en ”trusted enterprise clearinghouse”, alltså en samordnande plattform där sårbarheter kan identifieras, analyseras, valideras, prioriteras och åtgärdas i stor skala. Målet är inte bara att hitta säkerhetsproblem, utan också att testa och kvalitetssäkra patchar innan de används i produktionsmiljöer.
En central del av satsningen är AI-assisterad ingenjörskonst. AI ska användas för att analysera kod, prioritera risker, hjälpa till med granskning och stödja utvecklingen av korrigeringar. Men IBM och Red Hat betonar samtidigt att arbetet inte enbart bygger på automatisering. Projektet ska backas upp av ett mycket stort team av ingenjörer som kan granska, testa och samordna arbetet med både företagskunder och öppna utvecklarprojekt.
Project Lightwell riktar sig främst till stora företag och organisationer snarare än till den breda open source-gemenskapen. IBM planerar att erbjuda tjänsten genom kommersiella abonnemang, där kunder får tillgång till validerade säkerhetsfixar, livscykelhantering och produktionsklassad testning. För företag inom exempelvis finans, offentlig sektor, molndrift och AI-utveckling kan detta bli ett sätt att minska risken i sina beroenden av öppen källkod.
Teknikområdet som omfattas är brett. IBM och Red Hat nämner bland annat Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra, AI-ramverk, språkverktyg, oberoende bibliotek och plattformar för dataströmning. Det innebär att Project Lightwell inte bara handlar om Red Hats egna produkter, utan även om komponenter utanför bolagets traditionella produktgränser.
Clearinghouse-modellen bygger på tre huvudsakliga funktioner. För det första ska företag kunna rapportera känsliga sårbarheter i den mjukvara de använder. För det andra ska Project Lightwell kunna erbjuda validerade patchar för både Red Hat-relaterad kod och fristående open source-komponenter. För det tredje ska IBM och Red Hat samordna ansvarsfull rapportering uppströms, så att korrigeringar också kan komma de öppna projekten till del.
Det är en viktig balansgång. Öppen källkod bygger på samarbete, transparens och frivilliga eller företagsstödda underhållare. IBM och Red Hat framhåller därför att Project Lightwell inte ska ersätta befintliga säkerhetsprocesser eller de utvecklare som redan underhåller projekten. I stället presenteras satsningen som ett extra lager för samordning, validering och företagsanpassad hantering av säkerhetsproblem.
För Red Hat ligger initiativet nära bolagets etablerade affärsmodell. Red Hat har länge byggt sin verksamhet på att paketera, underhålla, testa och ge support för öppen källkod i företagsmiljöer. Skillnaden med Project Lightwell är att samma typ av ingenjörsprocesser nu ska kunna tillämpas på ett större ekosystem av open source-komponenter, även sådana som inte ingår direkt i Red Hats egna plattformar.
Projektet testas redan tillsammans med tidiga användare inom finanssektorn. Bland de organisationer som nämns finns Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa och Wells Fargo. Erfarenheterna från dessa piloter ska enligt IBM användas för att förbättra hur sårbarheter identifieras, valideras och åtgärdas i stor skala.
Initiativet visar också hur säkerheten kring öppen källkod håller på att bli en strategisk fråga för storföretag. Tidigare har många organisationer förlitat sig på att enskilda projekt, distributioner eller leverantörer hanterar säkerhetsuppdateringar. Med allt mer komplexa beroendekedjor, AI-genererad kod och snabbare sårbarhetsforskning räcker det inte alltid med traditionella processer.
Project Lightwell kan därför ses som ett försök att bygga en mer industriell modell för säkerhet i öppen källkod. Genom att kombinera AI, storskalig ingenjörskapacitet och samordning med upstream-projekt vill IBM och Red Hat skapa ett system där företag snabbare kan få tillgång till testade och betrodda säkerhetsfixar.
Samtidigt väcker modellen frågor. Om säkerhetsfixar och validering erbjuds genom kommersiella abonnemang kan det skapa en tydligare uppdelning mellan företagsanpassad open source-säkerhet och den bredare öppna gemenskapens resurser. Hur IBM och Red Hat hanterar balansen mellan kommersiell nytta och bidrag tillbaka till öppna projekt blir därför avgörande för hur Project Lightwell tas emot.
Klart är att säkerhet i mjukvarans leveranskedja har blivit en av de stora frågorna för hela IT-branschen. När Linux, Kubernetes, Java-bibliotek, AI-ramverk och molnkomponenter utgör grunden för samhällsviktig infrastruktur blir frågan inte längre om öppen källkod används, utan hur den säkras, testas och underhålls över tid.
Med Project Lightwell vill IBM och Red Hat positionera sig som en central aktör i den utvecklingen. Om satsningen lyckas kan den bli ett viktigt steg mot mer strukturerad, AI-assisterad och företagsanpassad säkerhet för den öppna källkod som stora delar av den digitala världen redan är beroende av.
Fakta: Project Lightwell
Vad är det?
Project Lightwell är ett initiativ från IBM och Red Hat för att stärka säkerheten i öppen källkod som används i företag, molnplattformar och AI-system.
Budget:
5 miljarder dollar.
Syfte:
Att identifiera, analysera, validera och åtgärda sårbarheter i open source-komponenter i stor skala.
Teknik:
AI-assisterad kodanalys kombineras med arbete från IBM:s och Red Hats ingenjörer.
Omfattar bland annat:
Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra, AI-ramverk, språkverktyg och fristående bibliotek.
Målgrupp:
Främst stora företag och organisationer som är beroende av öppen källkod i produktion.
Viktigt att notera:
Project Lightwell är inte tänkt att ersätta öppna utvecklarprojekt eller befintliga säkerhetsprocesser, utan fungera som ett extra lager för samordning, testning och validering.
