Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- Lightwell rappresenta uno sforzo enorme per salvaguardare il software program open supply.
- IBM e Pink Hat stanno investendo in questa massiccia iniziativa di sicurezza.
- Non sappiamo ancora come funzionerà questo servizio basato su abbonamento.
L’intelligenza artificiale è una benedizione mista per il software program open supply. Da un lato, l’intelligenza artificiale può aiutare gli sviluppatori a programmare più velocemente e a trovare i bug più rapidamente. D’altra parte, i manutentori sono sopraffatti dall’enorme quantity di segnalazioni di bug potenzialmente gravi.
Come Daniel Steinberg, fondatore e manutentore del popolare programma di trasferimento dati open supply arricciareha recentemente affermato: “Il tasso di i rapporti sulla sicurezza in arrivo sono da quattro a cinque volte superiori rispetto al 2024 e raddoppiare la velocità del 2025.” Per la prima volta, ha confessato, “Lavoro più di quanto ho fatto prima, ma l’alluvione continua advert arrivare.” Steinberg è sul punto di esaurirsi. Quindi, ha chiesto a più aziende di “finanziarci” in modo che possano poi pagare più sviluppatori per distribuire il carico di lavoro.” Ora, IBM e la sua controllata Cappello Rosso hanno sentito la chiamata.
Inoltre: queste 4 vulnerabilità critiche dell’IA vengono sfruttate più velocemente di quanto i difensori possano rispondere
La loro risposta è Progetto Lightwellun’iniziativa basata sull’intelligenza artificiale che hanno descritto come una “forza unica nel suo genere” per trovare e correggere le vulnerabilità nel software program open supply su scala industriale. Lightwell mira a diventare di fatto un centro di smistamento per proteggere i componenti open supply che sono alla base dell’IT aziendale moderno.
Tuttavia, l’iniziativa non pagherà gli sviluppatori a monte. Invece, Lightwell fornisce agli ingegneri IBM e Pink Hat strumenti di intelligenza artificiale per lavorare su progetti open supply importanti e critici per il enterprise e renderli il più sicuri possibile. Da Anthropic Il modello Mythos Preview ha già identificato quasi 3.900 gravi vulnerabilità di sicurezza nel software open source in poche settimane, l’urgente necessità di soluzioni più rapide è chiara.
Per compiere questo passo, le due società investiranno 5 miliardi di dollari nei prossimi anni per implementare modelli di intelligenza artificiale, strumenti e un’organizzazione ingegneristica globale dedicata alla sicurezza open supply. Questa mossa non è solo un gioco dell’IA. Le aziende dedicheranno inoltre 20.000 ingegneri a trattare il rischio open supply come un problema di prim’ordine della catena di fornitura, non come un compito di manutenzione in background.
Inoltre: 5 modi per rafforzare la tua rete contro la nuova velocità degli attacchi IA
Dopotutto, come ha recentemente sottolineato David Gerwitz di ZDNET, “la tradizionale sicurezza delle applicazioni non è più sufficiente”. Non è nemmeno vicino advert essere sufficiente.
Rafforzare la sicurezza del codice open supply
Al centro del progetto Lightwell c’è un nuovo modello operativo che colma il divario tra le imprese e le comunità a monte che costruiscono il software program su cui fanno affidamento. Invece di lanciare l’ennesimo programma di bug bounty o servizio di scansione dei codici, IBM e Pink Hat stanno proponendo Lightwell come intermediario fidato. Cioè, le aziende forniranno all’iniziativa informazioni sul software program open supply che utilizzano. Quindi, gli ingegneri di Lightwell utilizzeranno l’intelligenza artificiale per cercare difetti e proporre soluzioni. Successivamente, i suoi ingegneri lavoreranno con i manutentori upstream per unire e spedire le patch.
Le aziende hanno affermato che questo centro di smistamento combinerà various funzioni che oggi sono frammentate tra crew di sicurezza interni, scanner di terze parti e manutentori della comunità. Tali funzioni includono il rilevamento delle vulnerabilità su larga scala, il triage e la definizione delle priorità, lo sviluppo di patch, il backporting e il supporto del ciclo di vita a lungo termine per le versioni specifiche effettivamente implementate dalle aziende. Se tutto andrà bene, questo approccio trasformerà le piccole correzioni manuali in un processo di riparazione advert alto rendimento che rispetta comunque la governance del progetto e le norme di sviluppo aperto.
Come ha affermato in una dichiarazione Arvind Krishna, presidente e amministratore delegato di IBM: “Con il progetto Lightwell, IBM e Red Hat stanno contribuendo a definire un nuovo modello di settore, uno che unisce intelligenza artificiale, competenze ingegneristiche e collaborazione affidabile, per proteggere il software program open supply alla fonte e attraverso l’intera catena di fornitura”.
Inoltre: quasi la metà dei professionisti della sicurezza informatica vuole smettere: ecco perché
Lightwell inizierà con l’ecosistema Maven/Java, che è stato testimone di enormi abusi ancor prima che l’intelligenza artificiale apparisse sulla scena. Il progetto verrà quindi espanso su PyPI, npm, Go e altre importanti basi di codice open supply.
Gli ultimi modelli di intelligenza artificiale di IBM alimenteranno Lightwell. Questi sistemi saranno addestrati a scansionare enormi basi di codice, grafici delle dipendenze e archivi di configurazione per potenziali vulnerabilità, quindi genereranno patch candidate che gli ingegneri umani convalidano prima che qualsiasi cosa vada a monte o negli ambienti dei clienti.
Inoltre: 10 modi in cui l’IA può infliggere danni senza precedenti nel 2026
Le aziende sostengono che questo approccio human-in-the-loop è essenziale se si vuole affidare all’IA il codice critico per la sicurezza. I modelli possono far emergere modelli e problemi che i revisori umani non avrebbero mai il tempo di coprire, ha affermato IBM. Tuttavia, le decisioni finali su ciò che costituisce una soluzione sicura e accettabile spetteranno a ingegneri esperti e manutentori del progetto. In pratica, Lightwell è pensato per apparire alle comunità come un contributore particolarmente ampio e ben organizzato, non come un livello di automazione opaco che rilascia richieste pull non richieste.
Lavorare con, non intorno, a monte
Per Pink Hat, Challenge Lightwell estende un playbook perfezionato da decenni. L’iniziativa prenderà in considerazione l’open supply a monte, lo rafforzerà e lo supporterà per le imprese e spingerà i miglioramenti alla comunità. La differenza è la portata. Mentre il modello tradizionale di Pink Hat è incentrato su piattaforme come i propri prodotti, tra cui Pink Hat Enterprise Linux (RHEL), OpenShift e Ansible, Lightwell prenderà di mira la lunga coda di librerie, framework e strumenti che tranquillamente sostengono tutto, dai sistemi bancari alle pipeline di intelligenza artificiale.
Inoltre: Pink Hat Desktop vs. Fedora Hummingbird: quale percorso Linux di sviluppo AI è giusto per te?
Le società hanno affermato che gli ingegneri di Lightwell segnaleranno i problemi, proporranno patch e co-manterranno i componenti critici insieme ai chief di progetto esistenti invece di biforcarli o sostituirli. Quando i manutentori upstream non sono d’accordo con una correzione o rifiutano di supportare un ramo più vecchio, Lightwell sarà comunque in grado di portare backport rafforzati per i propri clienti. Ma IBM e Pink Hat hanno insistito sul fatto che il percorso predefinito è innanzitutto a monte, con il centro di smistamento che funge da ponte tra le richieste di produzione aziendale e le cadenze di rilascio della comunità.
Il rischio della catena di fornitura come opportunità
Allo stesso tempo, IBM e Pink Hat hanno affermato esplicitamente: “Queste funzionalità saranno offerte tramite abbonamenti commerciali, consentendo alle aziende di integrare patch sicure direttamente nelle loro catene di fornitura software program esistenti con convalida di livello aziendale e gestione del ciclo di vita”.
Questi abbonamenti sono posizionati come una sovrapposizione sulle catene di fornitura di software program esistenti, non come una nuova distribuzione: Lightwell si collega ai processi di integrazione continua e distribuzione continua (CI/CD), ai registri e alla distinta base dei materiali (SBOM) del software program che le aziende già utilizzano, fornendo soluzioni verificate e decisioni politiche tramite API, cataloghi e integrazioni.
Inoltre: perché gli architetti aziendali sono pronti a guidare la rivoluzione dell’intelligenza artificiale aziendale
Il vicepresidente senior del software program IBM, Rob Thomas, ha dichiarato a Reuters: “Il servizio verrà lanciato come offerta commerciale nei prossimi 30 giorni.” Questo abbonamento, che probabilmente avrà un prezzo in base al numero di pacchetti utilizzati, fornirà ai clienti un “timbro di approvazione da parte del centro di smistamento che il loro open supply è sicuro da usare in produzione.”
Quel servizio va benissimo, e sicuramente le due potenti società investiranno un sacco di soldi e meriteranno di realizzare un profitto, ma come si inseriscono gli sviluppatori open supply a monte e le loro attività in questo nuovo approccio? Questo centro di compensazione aziendale fidato proposto diventerà di fatto un custode per le grandi aziende? Se le patch vengono tutte collocate in repository upstream, cosa pagheranno esattamente i clienti?
Queste sono tutte buone domande e in questo momento non ci sono buone risposte. Rimani sintonizzato.
