IBM Corp. et sa filiale Red Hat ont lancé aujourd'hui une initiative appelée Project Lightwell pour améliorer la sécurité des projets open source.
Le projet Lightwell est soutenu par un engagement de 5 milliards de dollars. De plus, IBM et Red Hat affecteront plus de 20 000 ingénieurs à cette initiative.
Red Hat, qui a rejoint IBM grâce à une acquisition en 2019, vend une distribution Linux populaire appelée RHEL. Son code est accessible au public, mais les organisations doivent acheter une licence pour l'utiliser dans des projets logiciels. Red Hat développe également d'autres outils open source qui automatisent des tâches telles que la configuration de l'infrastructure cloud.
Le distributeur Linux exploite depuis longtemps un programme grâce auquel ses ingénieurs trouvent et corrigent les vulnérabilités de ses logiciels. Le projet Lightwell étendra le travail d'IBM dans ce domaine au-delà du portefeuille de produits Red Hat vers l'écosystème open source plus large. Selon l'entreprise, l'objectif est d'aider les entreprises à corriger les vulnérabilités des outils open source qui alimentent leurs logiciels. IBM fournira l'accès au projet Lightwell via des abonnements.
Lorsque les développeurs intègrent un projet open source dans une application, ils n'utilisent souvent pas la dernière version du composant. Même s’ils utilisent la dernière version, il existe un risque que le composant devienne obsolète à l’avenir en raison du manque de mises à jour. Cela peut créer des défis si une vulnérabilité est découverte dans le projet.
Dans de nombreux cas, les correctifs de cybersécurité ne sont pas immédiatement disponibles pour les anciennes versions d'un outil open source. De plus, il existe des situations dans lesquelles l'installation d'un correctif nécessite la mise à jour de l'outil concerné vers la dernière version. Cela peut nécessiter des modifications importantes du code de l'application dans laquelle le composant est installé.
Les ingénieurs IBM et Red Hat affectés au projet Lightwell utiliseront l'intelligence artificielle pour détecter les vulnérabilités des projets open source. À partir de là, ils développeront des correctifs et les rétroporteront vers les versions de projets open source spécifiques utilisées par les clients. IBM affirme que les correctifs rétroportés élimineront la nécessité pour les entreprises de mettre à niveau les composants open source vers la dernière version.
Le projet Lightwell englobera également certaines autres initiatives. IBM et Red prévoient de divulguer les vulnérabilités découvertes par leurs ingénieurs aux responsables des projets open source concernés. Ils créeront un « cadre intermédiaire de confiance » pour faciliter ce partage d’informations.
« Le projet Lightwell, IBM et Red Hat contribuent à définir un nouveau modèle industriel, qui rassemble l'IA, l'expertise en ingénierie et une collaboration de confiance, pour sécuriser les logiciels open source à la source et tout au long de la chaîne d'approvisionnement », a déclaré Arvind Krishna, PDG d'IBM.
Le projet Lightwell pourrait créer davantage de concurrence pour les startups de sécurité de la chaîne d'approvisionnement en logiciels telles que Chainguard Inc. et Socket Inc. L'ancienne société, qui soulevé 280 millions de dollars l'année dernière, fournissent des versions renforcées de projets open source. Socket vend des outils qui permettent aux développeurs d'installer plus facilement des correctifs open source et de faciliter certaines tâches connexes.
