IBMとRed HatがLightwellを拡充——6,500以上の修正済みオープンソース依存関係と金融向けクリアリングハウス
IBMとRed HatはJavaおよびPythonで6,500以上のデジタル署名済み修正済み依存関係カタログを持つLightwell Networkを一般公開し、金融サービス向けにパッチエンバーゴを調整するLightwell Clearinghouse Premierを発表した。オープンソースセキュリティへの50億ドルのコミットメントを背景とする。
この記事はAIにより一次情報源から生成されました。
IBMとRed HatはLightwell——オープンソースソフトウェアの脆弱性自動修復プラットフォーム——を、エンタープライズ組織向けに2つの新しい商業提供で拡充した。大規模なオープンソース依存関係ポートフォリオを管理するエンタープライズ組織を対象としている。
オープンソースセキュリティがなぜ重要なビジネス問題になったのか?
現代のエンタープライズソフトウェアはオープンソースコンポーネントを**最大90%**含んでいる。人気のある依存関係の各脆弱性は潜在的に数千の組織に影響を与え、ポートフォリオ全体レベルでのパッチの手動追跡・テスト・バックポートは自動化なしにはスケールできない。Lightwellは生成AIと専門エンジニアの作業を組み合わせ、このプロセスを産業規模で自動化し信頼できるものにする。
プラットフォームはフロンティアとオープンソースモデルと結果を検証する人間のエンジニアを含むパイプラインを使用する。IBMとRed Hatはすべての修復をアップストリームコミュニティに公開する——「アップストリーム・オールウェイズ」モデルと呼ばれ、修正がコーポレートユーザーだけでなくより広いエコシステムにも利益をもたらすことを確保する。
Lightwell Network:6,500以上の修正済み依存関係が一般公開
2つの新しい提供の1つ目、Lightwell Networkが本日一般公開で利用可能になった。Java・Python・その他のエコシステムで6,500以上の修正済みでデジタル署名された依存関係のカタログへのアクセスを提供する。
各パッチが当たった依存関係には、ソフトウェアサプライチェーンの完全な透明性を組織に提供するバイナリ、ソースコード、ソフトウェア部品表(SBOM)が付属する。統合は既存の開発パイプラインにコードドリフトなしで直接行われる——組織はセキュリティ修正を受け取るためにアーキテクチャを変更したり新しいメジャーバージョンのライブラリに移行したりする必要がない。
Lightwell Clearinghouse Premier:金融サービス向けの脅威調整
2つ目の提供、Lightwell Clearinghouse Premierは限定提供で現在金融サービスセクターをターゲットにしている。同じ業種内でのパッチエンバーゴ調整と脅威情報共有のための信頼できる仲介者として機能する。
組織は特定のバージョンレベルでの脆弱性の標的修復を提出でき、Clearinghouse Premierはパッチの準備ができるまで個々のアクターを危険にさらさない調整された配布を確保する。公共セクター、医療、通信への拡大が計画されている。
パートナーエコシステム
IBMとRed Hatは幅広い技術・コンサルティングパートナーのエコシステムを集めた。技術面ではプラットフォームをAWS・AMD・F5・GitLab・Intel・JFrog・Microsoft・NVIDIA、Palo Alto Networksが支援する。エンタープライズ環境でLightwellを実装するコンサルティングパートナーにはIBM Consulting、Red Hat Consulting、Accenture・Deloitteと国際的なITサービスプロバイダーのAtos・Cognizant・EY・HCLTech・Infosys・Kyndryl・TCSが含まれる。
50億ドルのコミットメント
Lightwellは以前に発表されたIBMとRed Hatによるオープンソースセキュリティへの50億ドルのコミットメントに支えられている。20,000人以上のエンジニアがプラットフォームの開発と運用を積極的に監督している。
プラットフォームは現在数千から数百万の修正済みパッケージの範囲をカバーし、その成長は生成AIパイプラインが、プロダクションでまだ使用しているがシンプルなアップグレードが不可能な旧バージョン向けのパッチを特定・検証・パッケージ化するペースに依存している。
まとめ
Lightwellは長すぎる間散発的な手動パッチで解決されてきた実際の問題に対処する:大規模なオープンソースポートフォリオを持つエンタープライズが、プロダクションシステムをメジャーバージョンのアップグレードで不安定にさせることなくセキュリティ修正を受け取れるようにする方法だ。Lightwell Networkの一般公開とClearinghouse Premierの限定公開は共に、概念実証フェーズから、エンタープライズDevSecOpsプロセスの標準的な一部になり得る商業インフラへの移行を示している。
よくある質問
- Lightwell Networkとは何ですか?誰が使えますか?
- Lightwell Networkは、Java・Python・その他のエコシステムで6,500以上の修正済みでデジタル署名された依存関係のカタログで、本日の一般公開よりすべてのエンタープライズユーザーが利用可能です。
- Lightwell Clearinghouse Premierは何のためにありますか?
- Clearinghouse Premierは金融セクター内のパッチエンバーゴ調整と脅威情報の共有のための信頼できる仲介者として機能し、医療・公共セクター・通信への拡大を計画しています。
- IBMはオープンソースセキュリティにいくら投資しましたか?
- IBMとRed HatはLightwellプラットフォームを監督する20,000人以上のエンジニアによって支えられた、オープンソースセキュリティへの50億ドルのコミットメントを背景としています。