IBM與Red Hat(紅帽)合作推出企業開放原始碼軟體供應鏈安全服務Project Lightwell,標榜結合AI輔助漏洞分析,協助企業處理第三方開放原始碼套件漏洞,並將已驗證的修補整合至既有軟體供應鏈。
這項服務延伸IBM與紅帽過去在Red Hat Enterprise Linux、OpenShift等企業開源平臺上的維護模式,將過去針對平臺內開放原始碼元件提供的生命週期管理、漏洞修補驗證與發布工程(release engineering),擴大到企業應用程式常用的第三方開放原始碼函式庫、程式語言工具鏈、AI框架與資料串流平臺。IBM與紅帽表示,Project Lightwell將透過商業訂閱方式提供相關能力,讓企業能將這類套件漏洞修補納入既有的軟體供應鏈管理流程。
Project Lightwell鎖定的問題,是如何把漏洞發現轉化為企業可實際部署的修補成果。依IBM說明,企業可在可信任的中介框架下,回報實際使用版本中發現的敏感安全問題;IBM與紅帽則結合工程團隊與AI能力,針對企業實際使用的開放原始碼套件版本,進行漏洞審查、分流、優先排序、修補開發與驗證,並交付針對正式環境最佳化的已驗證修補,涵蓋紅帽產品與獨立社群程式碼。
Project Lightwell也把上游通報與修正協調納入運作流程,讓IBM與紅帽在完成企業所需的套件漏洞修補後,可將相關修正內容回饋給上游開放原始碼社群,供社群納入後續長期維護。這種模式讓企業可委託IBM與紅帽處理關鍵安全問題,同時透過負責任揭露,降低企業自行維護修補分支的負擔,並強化整體開源生態系。
IBM並將Project Lightwell定位為既有漏洞掃描與程式碼安全工具的補強,而非取代Snyk、Sonatype、GitHub Advanced Security等工具。其差異在於,Project Lightwell交付的是針對企業既有套件版本完成修補、具備簽章驗證且納入服務水準協議(SLA)的套件,協助企業從發現漏洞進一步進入可部署到正式環境的修補階段。
Project Lightwell的設計也參考Anthropic Project Glasswing與OpenAI Trusted Access for Cyber等計畫經驗,IBM希望藉此把代理式安全技術用於開放原始碼套件風險管理,協助企業保護支撐現代應用程式與AI系統的基礎開放原始碼元件。技術支援範圍方面,Project Lightwell初期鎖定Maven與Java生態系,未來預計擴展至PyPI、NPM、Go等更多套件生態系。
IBM與紅帽已與一批早期採用企業合作,包括Bank of America、Goldman Sachs、JPMorganChase、Mastercard、Morgan Stanley、Royal Bank of Canada、Visa與Wells Fargo等。雙方表示,這些初期部署經驗,將作為Project Lightwell在複雜軟體供應鏈中,大規模識別、驗證與修補開放原始碼套件漏洞的參考。
