IBM及其子公司Red Hat今日宣布推出Project Lightwell,一项斥资50亿美元(约合360亿元人民币)、投入超过20000名工程师的开源安全计划。Lightwell将依托前沿AI模型和工具,以工业化规模搜寻并修复开源软件中的漏洞,旨在成为开源组件安全的“清算中心”(clearinghouse)。
当前开源安全形势不容乐观。cURL项目创始人兼维护者Daniel Steinberg表示,其项目接收的安全报告数量已达2024年的4至5倍,是2025年初的两倍。他坦言工作强度已超极限,濒临burnout,并呼吁更多企业提供资金支持以招募更多开发者。AI在帮助开发者加速编程和发现漏洞的同时,也因生成大量潜在严重报告而令维护者不堪重负。IBM与Red Hat正是针对这一矛盾推出Lightwell。
Project Lightwell的运作模式
Lightwell并非传统的漏洞奖励计划或代码扫描服务,而是一种新的运营模型。企业将自身使用的开源软件信息提交给Lightwell,后者工程师借助AI工具定位漏洞并编写修复方案,随后与上游项目维护者协作,将补丁合并并发布。通过这一中介角色,Lightwell试图弥合企业与开源社区之间的缝隙,使安全修复更顺畅地进入供应链。
值得注意的是,Lightwell不会直接向上游开发者支付报酬,而是专注于企业大量使用的关键开源项目,利用AI和工程力量直接加固。ZDNet的David Gerwitz此前指出,当前的开源安全努力远远不够。Lightwell能否改变现状尚待观察。
投资规模与工程力量
两家公司计划在数年内投入50亿美元,用于部署前沿AI模型、开发配套工具链及组建全球化工程团队。这项投入不止是AI层面的投资,更将开源风险提升到供应链安全的高度来应对。参与计划的20000名工程人员由红帽资深开源工程师带领,他们擅长以合理的方式向社区提交修复方案,确保补丁能够被上游顺利接纳。Lightwell还将提供已验证的修复方案,直接集成到企业软件供应链,无需中断现有升级流程。
IBM和Red Hat希望通过这一前所未有的投入,为各行各业的开源软件安全提供基线保障。但计划的订阅模式尚未明确,其实际效果仍有待时间检验。
本文参考来源:ZDNet
微信扫描下方的二维码阅读本文
