Pratite ZDNET: Dodajte nas kao željeni izvor na Googleu.
Sadržaj objave
Ključni podaci ZDNET-a za van
- Lightwell je veliki napor da se zaštiti softver otvorenog koda.
- IBM i Red Hat ulažu u ovu golemu sigurnosnu inicijativu.
- Još ne znamo kako će ova usluga temeljena na pretplati funkcionirati.
AI je mješoviti blagoslov za softver otvorenog koda. S jedne strane, AI može pomoći programerima da brže programiraju i brže pronađu greške. S druge strane, održavatelji su preopterećeni ogromnom količinom potencijalno ozbiljnih izvješća o greškama.
Kao Daniel Steinberg, osnivač i održavatelj popularnog programa za prijenos podataka otvorenog koda sklupčatinedavno je rekao: “Stopa od dolazna sigurnosna izvješća četiri do pet puta veća nego što je bila 2024 i udvostručiti brzinu od 2025.” Po prvi put je priznao: “Radim više nego što sam radio prije, ali poplava nastavlja dolaziti.” Steinberg je na rubu izgaranja. Dakle, tražio je više tvrtki “da nas financiraju” kako bi onda mogle platiti više programera da raspodijele opterećenje.” Sada, IBM i njegova podružnica Crveni šešir čuli poziv.
Također: Europska alternativa otvorenog koda za Microsoft Office i Google Docs pokreće se 9. lipnja
Njihov je odgovor Projekt Lightwellinicijativa pokretana umjetnom inteligencijom koju su opisali kao “prvu snagu svoje vrste” za pronalaženje i popravljanje ranjivosti u softveru otvorenog koda na industrijskoj razini. Lightwell ima za cilj postati de facto klirinška kuća za osiguravanje komponenti otvorenog koda koje podupiru moderni poslovni IT.
Međutim, inicijativa neće platiti naprednim programerima. Umjesto toga, Lightwell pruža IBM-ovim i Red Hat inženjerima AI alate za rad na važnim, poslovno kritičnim projektima otvorenog koda i čineći ih što sigurnijim. Od Anthropic-a Mythos Preview model već je identificirao gotovo 3900 ozbiljnih sigurnosnih propusta u softveru otvorenog koda u samo nekoliko tjedana, hitna potreba za bržim popravcima kristalno je jasna.
Kako bi poduzele ovaj korak, dvije će tvrtke uložiti 5 milijardi dolara tijekom sljedećih godina u razvoj modela AI na graničnim razmjerima, alata i globalne inženjerske organizacije posvećene sigurnosti otvorenog koda. Ovaj potez nije samo igra umjetne inteligencije. Tvrtke će također posvetiti 20.000 inženjera tretiranju rizika otvorenog izvornog koda kao problema lanca opskrbe prvog reda, a ne pozadinskog posla održavanja.
Također: Rust će spasiti Linux od umjetne inteligencije, kaže Greg Kroah-Hartman
Uostalom, kao što je ZDNET-ov David Gewirtz nedavno istaknuo, “tradicionalna sigurnost aplikacija više nije dovoljna.” Nije ni blizu dovoljno.
Povećanje sigurnosti otvorenog koda
U središtu projekta Lightwell nalazi se novi operativni model koji premošćuje jaz između poduzeća i uzvodnih zajednica koje izrađuju softver na koji se oslanjaju. Umjesto pokretanja još jednog programa za dodjelu grešaka ili usluge skeniranja koda, IBM i Red Hat predstavljaju Lightwell kao pouzdanog posrednika. To jest, tvrtke će dati inicijativu informacijama o softveru otvorenog koda koji koriste. Zatim će inženjeri Lightwella koristiti AI za traženje nedostataka i predlaganje popravaka. Nakon toga, njegovi inženjeri će raditi s uzvodnim održavateljima kako bi se zakrpe spojile i poslale.
Tvrtke su rekle da će ova klirinška kuća kombinirati nekoliko funkcija koje su danas rascjepkane među internim sigurnosnim timovima, skenerima trećih strana i održavateljima zajednice. Te funkcije uključuju otkrivanje ranjivosti velikih razmjera, trijažu i određivanje prioriteta, razvoj zakrpa, backporting i dugoročnu podršku životnog ciklusa za određene verzije koje poduzeća stvarno implementiraju. Ako sve bude u redu, ovaj će pristup transformirati gomilu ručnih popravaka u cjevovod sanacije visoke propusnosti koji i dalje poštuje norme upravljanja projektom i otvorenog razvoja.
Kao što je Arvind Krishna, predsjednik i glavni izvršni direktor IBM-a, rekao u izjavi: “S projektom Lightwell, IBM i Red Hat pomažu definirati novi industrijski model, onaj koji spaja umjetnu inteligenciju, inženjersku stručnost i pouzdanu suradnju kako bi osigurao softver otvorenog koda na njegovom izvoru i u cijelom opskrbnom lancu.”
Također: Gotovo polovica stručnjaka za kibernetičku sigurnost želi dati otkaz – evo zašto
Lightwell će započeti s Maven/Java ekosustavom, koji je bio svjedok enormne zloupotrebe i prije nego što se AI pojavio na sceni. Projekt će se zatim proširiti na PyPI, npm, Go i druge važne baze kodova otvorenog koda.
IBM-ovi najnoviji AI modeli pokretat će Lightwell. Ovi sustavi će biti osposobljeni za skeniranje masivnih baza koda, grafikona ovisnosti i konfiguracijskih arhiva u potrazi za potencijalnim ranjivostima, zatim generiranje zakrpa kandidata koje ljudski inženjeri provjeravaju prije nego što bilo što krene uzvodno ili u korisnička okruženja.
Također: 10 načina na koje umjetna inteligencija može nanijeti neviđenu štetu 2026
Tvrtke su tvrdile da je ovaj pristup čovjeka u petlji bitan ako se umjetnoj inteligenciji vjeruje kod koji je kritičan za sigurnost. Modeli mogu otkriti obrasce i probleme koje ljudski recenzenti nikada ne bi imali vremena obraditi, rekao je IBM. Međutim, konačne odluke o tome što predstavlja siguran i prihvatljiv popravak ostat će na iskusnim inženjerima i održavateljima projekta. U praksi, Lightwell bi trebao izgledati zajednicama kao posebno velik i dobro organiziran doprinositelj, a ne kao neproziran sloj automatizacije koji ispušta neželjene zahtjeve za povlačenjem.
Raditi s, ne okolo, uzvodno
Za Red Hat, Project Lightwell proširuje priručnik brušen desetljećima. Inicijativa će otvoriti otvoreni izvorni kod, očvrsnuti ga i podržati ga za poduzeća i vratiti poboljšanja u zajednicu. Razlika je u opsegu. Dok je Red Hatov tradicionalni model usredotočen na platforme kao što su njegovi vlastiti proizvodi, uključujući Red Hat Enterprise Linux (RHEL), OpenShift i Ansible, Lightwell će ciljati na dugi niz knjižnica, okvira i alata koji tiho podupiru sve, od bankarskih sustava do AI cjevovoda.
Također: Red Hat Desktop protiv Fedora Hummingbird: Koji put razvoja AI Linuxa je pravi za vas?
Tvrtke su rekle da će inženjeri Lightwella prijavljivati probleme, predlagati zakrpe i suodržavati kritične komponente uz postojeće voditelje projekta, umjesto da ih razdvajaju ili zamjenjuju. Kada se uzvodni održavatelji ne slažu s popravkom ili odbiju podržati stariju granu, Lightwell će i dalje moći nositi ojačane backportove za svoje klijente. Ali IBM i Red Hat inzistirali su na tome da je zadani put uzvodno-prvo, s klirinškom kućom koja djeluje kao most između zahtjeva proizvodnje poduzeća i ritma objave u zajednici.
Rizik lanca opskrbe kao prilika
U isto vrijeme, IBM i Red Hat izričito su rekli: “Ove će mogućnosti biti ponuđene kroz komercijalne pretplate, omogućujući tvrtkama da integriraju sigurne zakrpe izravno u svoje postojeće lance nabave softvera s validacijom na nivou poduzeća i upravljanjem životnim ciklusom.”
Ove pretplate pozicionirane su kao preklapanje na postojeće lance nabave softvera, a ne kao nova distribucija: Lightwell se uključuje u procese kontinuirane integracije i kontinuirane implementacije (CI/CD), registre i popis materijala za softver (SBOM) koje tvrtke već koriste, isporučujući provjerene popravke i odluke o politici putem API-ja, kataloga i integracija.
Također: Zašto su poslovni arhitekti spremni voditi korporativnu AI revoluciju
IBM-ov viši potpredsjednik softvera, Rob Thomas, rekao je za Reuters, “Usluga će biti pokrenuta kao komercijalna ponuda u sljedećih 30 dana.” Ova pretplata, koja će se vjerojatno naplaćivati prema broju korištenih paketa, klijentima će dati “pečat odobrenja klirinške kuće da je njihov otvoreni izvor siguran za korištenje u proizvodnji.”
Ta je usluga sasvim u redu i sigurno će dvije moćne tvrtke uložiti gomilu novca i zaslužiti ostvariti profit, ali kako se uzvodni programeri otvorenog koda i njihovi poslovi uklapaju u ovaj novi pristup? Hoće li ova predložena klirinška kuća od povjerenja postati de facto vratar za velike tvrtke? Ako se sve zakrpe postave u uzvodna spremišta, što će točno kupci plaćati?
Sve su to dobra pitanja, a trenutno nema dobrih odgovora. Ostanite s nama.