IBM与红帽(Red Hat)近日联合宣布,将投入50亿美元(约合360亿元人民币)启动一项名为“Project Lightwell”的新计划,旨在通过AI辅助的漏洞发现、分类、补丁验证和上游维护,系统性地加固开源软件供应链的安全。该计划将部署超过20,000名工程师,并依托前沿AI能力,建立一个面向企业的可信清算中心(clearinghouse),作为开源代码的安全协调层。
Project Lightwell的核心机制
根据IBM公布的细节,Project Lightwell将运行一个“信任的企业清算中心”,利用AI技术对海量开源代码进行漏洞扫描、补丁验证和兼容性测试。经过验证的修复补丁会通过商业订阅的方式向企业交付,允许用户直接将安全补丁集成到现有软件供应链中,并获得企业级的验证和生命周期管理服务。IBM承诺,所有补丁最终会向上游共享,“使开源社区能够将其纳入长期维护”。
早期合作伙伴已包括美国银行(Bank of America)、纽约梅隆银行(BNY)、花旗(Citi)、高盛(Goldman Sachs)、摩根大通(JPMorganChase)和万事达卡(Mastercard)等大型金融机构,显示出金融行业对开源供应链安全的高度敏感需求。
开源社区的争议与回应
Project Lightwell的商业订阅模式在开源社区引发了激烈讨论。部分开发者质疑其本质是“将安全补丁作为订阅产品出售,而非直接提交上游修复所有用户的问题”,认为这可能违背开源协作精神。也有声音指出,开源许可证本身允许此类商业行为,只要代码最终公开共享即可。IBM在发布资料中明确表示会向上游提交修复,但批评者担心实际操作中可能存在时间差或特定组合不透明等问题,导致社群无法及时获得完整修复。
目前该项目尚处于早期阶段,具体技术实现和协作细则仍有待观察。IBM和红帽表示将继续与开源社区合作,在保障企业合规与安全的同时,维护开源生态的开放性。
本文参考来源:Slashdot
微信扫描下方的二维码阅读本文
