De stroom patches voor open-source software explodeert door de opkomst van AI. IBM en Red Hat reageren hierop met een ambitieus project: Lightwell. Hun doel is eenvoudig, maar cruciaal voor bedrijven.
Lightwell wil de centrale hub worden voor het naadloos en veilig integreren van deze patches. De uitdaging? De huidige standaarden overtreffen zonder de compatibiliteit te verbreken of de dienstverlening te verstoren. Dit initiatief van 5 miljard dollar zet meer dan 20.000 engineers in.
In een wereld waar duizenden kwetsbaarheden voorkomen, gaat dit platform veel verder dan een simpele gereedschapskist. Het belooft een revolutie in open-source kwetsbaarheidsbeheer, met een vleugje kunstmatige intelligentie en nauwe samenwerking met communities. Laten we er eens nader naar kijken.
Lightwell: een baanbrekende verbetering voor het beveiligen van open-source software binnen de onderneming.
De opkomst van kunstmatige intelligentie heeft de ontdekking van kwetsbaarheden in open-source software versneld. Anthropic heeft bijvoorbeeld onlangs duizenden fouten geïdentificeerd via zijn Glasswing-project.
De uitdaging is aanzienlijk: hoe integreer je deze patches snel in de kern van de softwarepipeline zonder de productie in gevaar te brengen? Hier komt Lightwell in beeld, het resultaat van een samenwerking tussen IBM en Red Hat. Dit platform fungeert als een coördinatielaag die de integratie van patches automatiseert en harmoniseert.
Lightwell is getest bij grote banken en financiële instellingen zoals Bank of America en Mastercard, en maakt gebruik van kunstmatige intelligentie in combinatie met gedegen menselijke expertise om betrouwbare en ononderbroken patching te garanderen.
Intelligent georkestreerde corrigerende maatregelen om verstoringen te voorkomen.
De belangrijkste innovatie van Lightwell schuilt in het vermogen om robuuste engineeringprincipes, die zich al bij Red Hat hebben bewezen, toe te passen op AI-frameworks en -toolchains. De meer dan 62.000 betrokken pakketten spreken voor zich: Linux, Java, Kubernetes, Kafka, Ansible en vele andere.
Zeg vaarwel tegen risicovolle upgrades of de noodzaak om toegang te hebben tot de originele broncode. Het systeem kan patches nauwkeurig terugporteren naar versies die al door het bedrijf zijn gecertificeerd en geïmplementeerd. Dit voorkomt het “domino-effect” waar we in onze complexe infrastructuren vaak bang voor zijn.
Lightwell vertrouwt met name op fundamentele bestanden zoals pom.xml en maakt de weg vrij voor andere ecosystemen zoals PyPI, npm of Go. Dit alles zonder ooit de stabiliteit of naleving van de regelgeving in gevaar te brengen.
Samenwerking en delen: een model ten dienste van de open source-gemeenschap
Lightwell is geen gesloten oplossing. IBM en Red Hat benadrukken dat elke gevalideerde patch teruggekoppeld zal worden naar de open-sourcegemeenschap. Dit voorkomt dat propriëtaire code geïsoleerd wordt gepatcht.
Bedrijven kunnen via een beveiligd model kwetsbaarheden melden en oplossen voordat ze deze oplossingen delen met de ontwikkelaars. Ashesh Badani, productdirecteur bij Red Hat, bevestigt dit: “Alle oplossingen die voor klanten bedoeld zijn, moeten ook ten goede komen aan degenen die de oorspronkelijke code hebben ontwikkeld.”
Dit geldt zowel voor snel gecorrigeerde Python-code als voor de implementatie in de gehele afhankelijkheidsketen, waardoor de algehele beveiliging wordt verbeterd.
Waarom Lightwell cruciaal is voor de toekomst van open source in het bedrijfsleven
Cybersecurity-expert David Shipley neemt geen blad voor de mond: zonder een dergelijk initiatief lopen bedrijven het risico terug te vallen op maatwerkontwikkeling, wat een onnodige belasting zou zijn voor de IT-afdeling en het milieu. Hij spreekt zelfs van een “kolossale verspilling” die op de lange termijn schadelijk zou zijn.
Ondanks eerdere pogingen zoals Core Infrastructure, ligt de echte uitdaging in de snelheid waarmee deze patches kunnen worden geïmplementeerd. Het vinden van een bug is slechts het topje van de ijsberg, maar zonder een effectieve methode om de oplossingen toe te passen, blijft beveiliging een illusie.
Ashesh Badani benadrukt de synergie tussen AI en menselijke expertise. Geen van beide kan op zichzelf volledig zijn. Samen vormen ze een passend antwoord op de toenemende complexiteit van digitale omgevingen.
- Automatisering van reparaties zonder serviceonderbreking
- Vereenvoudigde integratie in bestaande ontwikkelingsprocessen.
- Compatibiliteit met belangrijke open-source ecosystemen
- Transparante uitwisseling van oplossingen met de gemeenschappen
- Beveilig de samenwerking tussen bedrijven door middel van embargo-modellen.
- Gecombineerd gebruik van AI en menselijke expertise voor meer efficiëntie.
Lightwell hanteert een pragmatische en samenwerkingsgerichte aanpak, essentieel gezien de toenemende snelheid waarmee kwetsbaarheden aan het licht komen. Het is alsof je een motor smeert voordat je hem uit elkaar haalt: onmisbaar om storingen te voorkomen. Dit project legt een belangrijke hoeksteen op weg naar digitale soevereiniteit.
Voor meer informatie over dit initiatief kunt u het officiële persbericht van IBM en Red Hat raadplegen, of diepgaande analyses van het project bekijken die beschikbaar zijn op gespecialiseerde platforms.
Lees meer over Project Lightwell. En Ontdek de impact op bedrijven..
Wat is de belangrijkste innovatie van Lightwell?
Lightwell introduceert een platform dat gebruikmaakt van kunstmatige intelligentie om patches te coördineren en te integreren in softwarepipelines zonder de dienstverlening te onderbreken of de stabiliteit in gevaar te brengen.
Waarom investeren IBM en Red Hat zo veel in dit project?
Geconfronteerd met de snelle toename van kwetsbaarheden die door AI worden ontdekt, willen ze een geïntegreerde en veilige oplossing bieden die infrastructuren beschermt en tegelijkertijd de open source-gemeenschap ondersteunt.
Hoe waarborgt Lightwell de beveiliging van bedrijven?
Lightwell past patches gericht toe op gecertificeerde versies, maakt gebruik van veilige tussenmodellen voor het delen onder embargo en combineert AI en menselijke vaardigheden om de kwaliteit en snelheid van patches te garanderen.
Vervangt Lightwell andere beveiligingssystemen?
Nee. Lightwell is een aanvulling op oplossingen zoals Snyk, Sonatype of GitHub Advanced Security, maar richt zich op de automatisering en coördinatie van patches in open source-ecosystemen.
Welke open source-gemeenschappen profiteren van het project?
Het project richt zich in eerste instantie op Java/Maven-omgevingen, maar is van plan uit te breiden naar PyPI, npm, Go en andere platformgemeenschappen, waardoor de beveiliging collectief wordt verbeterd.