Technologia - Promocje

Red Hat i IBM wykorzystują AI do usuwania podatności w open source

Firmy IBM i Red Hat zaprezentowały platformę Lightwell, która automatyzuje proces wielkoskalowego usuwania podatności w oprogramowaniu open source. Dostępna już komercyjnie usługa Lightwell Network zapewnia przedsiębiorstwom możliwość skorzystania z katalogu obejmującego ponad 6500 naprawionych, cyfrowo podpisanych i certyfikowanych zależności warstwy aplikacyjnej dla najważniejszych ekosystemów programistycznych, takich jak Java i Python. Z kolei Lightwell Clearinghouse Premier, w pierwszej fazie oferowany z ograniczoną dostępnością, pełni rolę zaufanego pośrednika w procesie poufnego udostępniania poprawek bezpieczeństwa przed upublicznieniem informacji o podatnościach oraz koordynatora działań związanych z zagrożeniami w poszczególnych branżach.

 

Premiera Lightwell jest kolejnym etapem realizacji ogłoszonej przez IBM i Red Hat w maju 2026 r. inwestycji o wartości 5 mld dolarów w bezpieczeństwo oprogramowania open source. Za rozwój projektu odpowiada globalny zespół ponad 20 tys. inżynierów, którego zadaniem jest rozwijanie i skalowanie bazujących na sztucznej inteligencji mechanizmów automatycznego usuwania podatności. Lightwell wykorzystuje zaufany model współpracy z klientami korporacyjnymi wypracowany na przestrzeni dziesięcioleci przez Red Hat. Firma zabezpiecza krytyczne systemy tysięcy podmiotów na całym świecie, a jej dorobek obejmuje miliony pobrań kluczowych produktów oraz ogromną liczbę poprawek i usprawnień rozwijanych wspólnie ze społecznością open source.

Rozwiązanie Lightwell powstało również we współpracy z partnerami z branży finansowej, którzy uznali problem bezpieczeństwa oprogramowania open source za jedno z najważniejszych wyzwań. Według nich IBM i Red Hat dysponują odpowiednim doświadczeniem oraz skalą działania, aby skutecznie rozwiązać ten problem. Dzięki Lightwell sprawdzony model ochrony systemów przedsiębiorstw zostaje rozszerzony na całe portfolio wykorzystywanego przez przedsiębiorstwa oprogramowania open source.

Aby stworzyć taką godną zaufania infrastrukturę, Lightwell wykorzystuje działający już produkcyjnie i w dużej skali silnik automatycznego usuwania podatności, bazujący na generatywnej sztucznej inteligencji. Łączy on najnowocześniejsze modele AI – zarówno komercyjne, jak i otwarte – z wiedzą ekspertów, automatyzując wykrywanie, analizowanie, weryfikowanie i usuwanie podatności w kluczowych zależnościach osadzonych głęboko we współczesnych architekturach aplikacyjnych.

Lightwell pozwala pogodzić szybkie tempo rozwoju oprogramowania z wymaganiami dotyczącymi bezpieczeństwa i zgodności, zabezpieczając dokładnie te pakiety, które są obecnie wykorzystywane w środowiskach produkcyjnych, a jednocześnie przygotowując stabilną podstawę dla przyszłych aplikacji. Aby przełamać impas związany z usuwaniem podatności w zależnościach programistycznych, Lightwell automatycznie przenosi krytyczne poprawki bezpieczeństwa do konkretnych, użytkowanych przez długi czas produkcyjnych wersji oprogramowania. Dzięki temu firmy mogą uniknąć czasochłonnych testów regresyjnych oraz problemów z kompatybilnością, które często towarzyszą wdrażaniu dużych aktualizacji. IBM i Red Hat przewidują, że dzięki wykorzystaniu sztucznej inteligencji katalog naprawionych pakietów będzie mógł zwiększyć się z kilku tysięcy do milionów pozycji.

Red Hat i IBM udostępniają automatyczne przenoszenie poprawek bezpieczeństwa za pośrednictwem dwóch nowych rozwiązań:

Lightwell Network: oferowana już w modelu komercyjnym usługa zapewniająca natychmiastowy dostęp do stale rozbudowywanego repozytorium zabezpieczonych bibliotek najważniejszych poprawek bezpieczeństwa (od najnowszych po starsze wersje). Użytkownicy otrzymują podpisane cyfrowo pliki binarne, kod źródłowy oraz pełną dokumentację zgodności, w tym kompletne wykazy komponentów oprogramowania (Software Bills of Materials, SBOM), które mogą być bezpośrednio wykorzystywane w istniejących procesach wdrażania aplikacji, bez ryzyka rozbieżności pomiędzy kodem źródłowym a środowiskiem produkcyjnym.

Lightwell Clearinghouse Premier: usługa stopniowo udostępniana w modelu komercyjnym, której celem jest pełnienie funkcji zaufanego centrum współpracy pomiędzy przedsiębiorstwami, co umożliwia koordynowanie działań dotyczących zagrożeń w poszczególnych branżach oraz bezpieczne zarządzanie poprawkami objętymi czasowym embargiem. Użytkownicy mogą zgłaszać podatności oraz zlecać przygotowanie poprawek dla konkretnych wersji oprogramowania jeszcze przed publicznym ujawnieniem potencjalnego zagrożenia. W pierwszej fazie usługa Lightwell Clearinghouse Premier będzie dostępna wyłącznie dla podmiotów z branży usług finansowych, jednak Red Hat i IBM planują rozszerzenie jej również na administrację publiczną, ochronę zdrowia, telekomunikację i inne przedsiębiorstwa wchodzące w skład infrastruktury krytycznej. Ze względu na złożone wymagania prawne i ograniczenia geograficzne obowiązujące w różnych branżach, usługa będzie dostępna tylko dla zakwalifikowanych firm.

Lightwell działa zgodnie ze stosowanym przez Red Hat sprawdzonym modelem, w ramach którego opracowane poprawki bezpieczeństwa są przekazywane z powrotem do społeczności projektów open source, z których pochodzą dane komponenty, aby mogły zostać zweryfikowane i zaakceptowane. Pozwala to jednocześnie zwiększać bezpieczeństwo komercyjnych wdrożeń i wspierać rozwój projektów open source, bez ryzyka fragmentacji kodu czy pozostawienia niezałatanych podatności typu zero-day w środowiskach produkcyjnych.

– Platforma Lightwell oznacza fundamentalną zmianę w sposobie zabezpieczania oprogramowania wykorzystywanego przez przedsiębiorstwa powiedział Matt Hicks, President and CEO, Red Hat. Połączenie automatycznego usuwania podatności z naszym wieloletnim doświadczeniem inżynierskim pozwala stworzyć zaufaną infrastrukturę, która umożliwia bezpieczne i długoterminowe korzystanie z oprogramowania open source w tempie wyznaczanym przez rozwój środowisk sztucznej inteligencji.

– IBM i Red Hat dostarczają certyfikowane poprawki, które można wdrożyć bezpośrednio w istniejących środowiskach firm, bez przebudowy infrastruktury i zakłócania jej działania. Rozwiązanie wspiera stale rosnąca sieć partnerów technologicznych i wdrożeniowych – powiedział Rob Thomas, Senior Vice President, Software & Chief Commercial Officer w IBM.Realizacja takiego przedsięwzięcia wymaga skali działania niedostępnej dla większości firm – zespołu światowej klasy inżynierów oraz systemów AI pracujących przez całą dobę nad ochroną oprogramowania open source, na którym bazuje działalność przedsiębiorstw na całym świecie.

– Żadne przedsiębiorstwo nie jest dziś w stanie samodzielnie nadążyć za rosnącą skalą i złożonością podatności w oprogramowaniu open sourcepowiedział Scott DePasquale, President and CEO, ARC. Doświadczenie podmiotów finansowych od lat pokazuje, że współpraca jest najskuteczniejszym sposobem radzenia sobie z dotyczącymi tej branży zagrożeniami. Inicjatywy umożliwiające skoordynowane usuwanie podatności mogą znacząco zwiększyć odporność całego sektora.

– Podmioty z branż objętych ścisłymi regulacjami, takie jak świadczące usługi finansowe, ponoszą najwyższe koszty zapewnienia zgodności, dlatego kwestie bezpieczeństwa, zwłaszcza w obszarze oprogramowania open source, mają dla nich kluczowe znaczenie powiedział Jerry Silva, Program Vice President w IDC Financial Insights. Wspólna inicjatywa Red Hat i IBM, realizowana pod szyldem Lightwell, obejmująca identyfikowanie, analizowanie i usuwanie podatności, może znacząco zwiększyć poziom bezpieczeństwa i odporności przedsiębiorstw na całym świecie, wzmacniając zaufanie będące fundamentem świadczonych przez nie usług.

Oprogramowanie open source stanowi obecnie nawet 90% kodu wykorzystywanego w aplikacjach przedsiębiorstw. Tylko w 2025 r. jego komponenty pobrano 9,8 biliona razy1. Jednocześnie rozwój narzędzi AI wykorzystywanych przez cyberprzestępców, które umożliwiły generowanie złośliwych eksploitów i sprzedawanie ich za tylko 50 dol.2, sprawiły, że tradycyjne metody zarządzania poprawkami przestały być skuteczne. W efekcie przeciętna baza kodu zawiera obecnie średnio 581 znanych podatności3. Lightwell ma ograniczyć to trudne do oszacowania ryzyko i wyeliminować wąskie gardła procesu usuwania podatności poprzez analizę kontekstu działania aplikacji oraz zależności między komponentami, a następnie dostarczanie zweryfikowanych poprawek bezpośrednio do istniejących procesów wytwarzania oprogramowania.

Skuteczna ochrona łańcucha dostaw oprogramowania open source wymaga otwartego ekosystemu obejmującego modele AI, narzędzia programistyczne oraz infrastrukturę przedsiębiorstw. Platforma Lightwell rozwijana jest we współpracy z rozbudowaną siecią partnerów technologicznych i wdrożeniowych. Dzięki temu poprawki bezpieczeństwa mogą być jednocześnie uwzględniane w regułach polityki sieciowej, środowiskach chmurowych oraz procesach wdrażania ich w całym przedsiębiorstwie, co zapewnia w pełni zorkiestrowaną ochronę.

Partnerzy technologiczni: przy rozwoju platformy Lightwell z IBM i Red Hat współpracują firmy Amazon Web Services (AWS), AMD, F5, GitLab, Intel, JFrog, Microsoft, NVIDIA, Palo Alto Networks oraz ServiceNow. Ten rosnący ekosystem partnerów sprawia, że poprawki bezpieczeństwa mogą być wykorzystywane w różnorodnych środowiskach IT, chroniąc istniejące narzędzia, aplikacje i usługi bez zakłócania ich pracy.

Partnerzy wdrożeniowi i doradcy strategiczni: Aby przyspieszyć wdrażanie Lightwell, klienci mogą korzystać z usług integracji systemów oraz strategicznego doradztwa wdrożeniowego, świadczonych przez IBM Consulting, Red Hat Consulting, Accenture, Atos, Cognizant, Deloitte, zespoły konsultacyjne EY specjalizujące się w cyfrowym ryzyku, HCLTech, Infosys, Kyndryl, LTM, NTT DATA, Tata Consultancy Services (TCS) i Tech Mahindra. Firmy te pomagają klientom m.in. analizować dokumentację SBOM, mapować zależności pomiędzy wersjami komponentów, integrować rejestry Lightwell oraz oceniać procesy wytwarzania oprogramowania pod kątem gotowości do reagowania na wykrywane bardzo szybko podatności z wykorzystaniem sztucznej inteligencji.

Więcej informacji o Lightwell dostępnych jest na stronach https://www.ibm.com/products/lightwell oraz https://www.redhat.com/en/lightwell.

foto, źródło. Red Hat

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *