IBM und Red Hat erweitern Lightwell – 6.500+ bereinigte Open-Source-Abhängigkeiten und Clearinghouse für Finanzen
IBM und Red Hat haben Lightwell Network in allgemeiner Verfügbarkeit mit einem Katalog von 6.500+ digital signierten bereinigten Abhängigkeiten in Java und Python gestartet, sowie Lightwell Clearinghouse Premier für die Koordination von Patch-Embargos im Finanzdienstleistungssektor, unterstützt von einer 5-Milliarden-Dollar-Verpflichtung für Open-Source-Sicherheit.
Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.
IBM und Red Hat haben Lightwell – ihre Plattform für die automatisierte Behebung von Schwachstellen in Open-Source-Software – mit zwei neuen kommerziellen Angeboten erweitert, die auf Enterprise-Organisationen mit großen Open-Source-Abhängigkeitsportfolios ausgerichtet sind.
Warum ist Open-Source-Sicherheit zur kritischen Geschäftsangelegenheit geworden?
Moderne Enterprise-Software enthält bis zu 90 Prozent Open-Source-Komponenten. Jede Schwachstelle in einer populären Abhängigkeit betrifft potenziell Tausende von Organisationen, und das manuelle Tracking, Testen und Backportieren von Patches auf Portfolio-Ebene ist ohne Automatisierung nicht skalierbar. Lightwell kombiniert generative KI mit der Arbeit von Experten-Ingenieuren, um diesen Prozess zu automatisieren und in industriellem Maßstab zuverlässig zu machen.
Die Plattform nutzt eine Pipeline, die Frontier- und Open-Source-Modelle zusammen mit menschlichen Ingenieuren einbezieht, die die Ergebnisse validieren. Alle Behebungen veröffentlichen IBM und Red Hat zurück in Upstream-Communities – was sie als „Upstream-Always”-Modell bezeichnen, das sicherstellt, dass Korrekturen dem breiteren Ökosystem zugutekommen, nicht nur Unternehmensnutzern.
Lightwell Network: 6.500+ bereinigte Abhängigkeiten in allgemeiner Verfügbarkeit
Das erste der beiden neuen Angebote, Lightwell Network, ist ab heute in allgemeiner Verfügbarkeit zugänglich. Es bietet Zugang zu einem Katalog von mehr als 6.500 bereinigten und digital signierten Abhängigkeiten in Java, Python und anderen Ökosystemen.
Jede gepatchte Abhängigkeit kommt mit Binärdateien, Quellcode und einem Software Bill of Materials (SBOM), der Organisationen vollständige Transparenz über die Software-Lieferkette bietet. Die Integration erfolgt direkt in bestehende Entwicklungs-Pipelines ohne Code Drift – eine Organisation muss ihre Architektur nicht ändern oder auf eine neue Major-Version einer Bibliothek wechseln, um Sicherheitskorrekturen zu erhalten.
Lightwell Clearinghouse Premier: Bedrohungskoordinierung für Finanzdienstleistungen
Das zweite Angebot, Lightwell Clearinghouse Premier, ist in eingeschränkter Verfügbarkeit und richtet sich derzeit an den Finanzdienstleistungssektor. Es fungiert als vertrauenswürdiger Vermittler für die Koordination von Patch-Embargos und den Austausch von Bedrohungsinformationen innerhalb derselben Branche.
Organisationen können Schwachstellen für gezielte Behebung auf Ebene spezifischer Versionen einreichen, während Clearinghouse Premier eine koordinierte Patch-Verteilung sicherstellt, die einzelne Akteure nicht gefährdet, solange die Korrektur nicht bereit ist. Die Erweiterung auf öffentlichen Sektor, Gesundheitswesen und Telekommunikation ist geplant.
Partner-Ökosystem
IBM und Red Hat haben ein breites Ökosystem aus technischen und beratenden Partnern zusammengestellt. Auf technischer Seite wird die Plattform von AWS, AMD, F5, GitLab, Intel, JFrog, Microsoft, NVIDIA und Palo Alto Networks unterstützt. Beratungspartner, die Lightwell in Enterprise-Umgebungen implementieren, umfassen IBM Consulting, Red Hat Consulting, Accenture, Deloitte und eine Reihe globaler IT-Dienstleister: Atos, Cognizant, EY, HCLTech, Infosys, Kyndryl und TCS.
Die 5-Milliarden-Dollar-Verpflichtung
Lightwell wird durch die früher angekündigte Verpflichtung von IBM und Red Hat über 5 Milliarden Dollar für Open-Source-Sicherheit unterstützt. Mehr als 20.000 Ingenieure überwachen aktiv die Entwicklung und den Betrieb der Plattform.
Die Plattform deckt derzeit eine Bandbreite von Tausenden bis Millionen bereinigter Pakete ab, und ihr Wachstum hängt vom Tempo ab, mit dem die generative KI-Pipeline Patches für ältere Versionen identifizieren, validieren und paketieren kann, die Unternehmen weiterhin in der Produktion nutzen, ohne einfach upgraden zu können.
Fazit
Lightwell adressiert ein praktisches Problem, das zu lange mit sporadischen manuellen Patches gelöst wurde: wie man sicherstellt, dass ein Unternehmen mit einem großen Open-Source-Portfolio Sicherheitskorrekturen erhalten kann, ohne Produktionssysteme durch Major-Version-Upgrades zu destabilisieren. Die allgemeine Verfügbarkeit von Lightwell Network und die eingeschränkte Verfügbarkeit von Clearinghouse Premier markieren zusammen den Übergang von der Proof-of-Concept-Phase zu kommerzieller Infrastruktur, die zum Standardbestandteil von Enterprise-DevSecOps-Prozessen werden könnte.
Häufig gestellte Fragen
- Was ist Lightwell Network und wer kann es nutzen?
- Lightwell Network ist ein Katalog von 6.500+ bereinigten und digital signierten Abhängigkeiten in Java, Python und anderen Ökosystemen, der ab heute in allgemeiner Verfügbarkeit für alle Enterprise-Nutzer zugänglich ist.
- Wozu dient Lightwell Clearinghouse Premier?
- Clearinghouse Premier fungiert als vertrauenswürdiger Vermittler für die Koordination von Patch-Embargos und den Austausch von Bedrohungsinformationen im Finanzsektor, mit Plänen zur Erweiterung auf Gesundheitswesen, öffentlichen Sektor und Telekommunikation.
- Wie viel hat IBM in Open-Source-Sicherheit investiert?
- IBM und Red Hat stehen hinter einer Verpflichtung von 5 Milliarden Dollar für Open-Source-Sicherheit, unterstützt durch die Arbeit von mehr als 20.000 Ingenieuren, die die Lightwell-Plattform überwachen.
Verwandte Nachrichten
CNCF White Paper: Datenspeicherung bleibt größtes Hindernis für Cloud-Native-KI im Maßstab
PyTorch 2.13: bis zu 4× weniger GPU-Speicher beim LLM-Training und 12,3× schnelleres FlexAttention
vLLM und Tencent Hunyuan streamen zwei HPC-Backends für NVIDIA-Hopper-GPUs upstream