🟢 📦 开源 发布于: · 2 分钟阅读 ·

IBM与Red Hat扩展Lightwell——6500+修复开源依赖项及金融行业信息交换中心

编辑配图:IBM与Red Hat Lightwell AI系统,用于开源代码中的漏洞修复

IBM与Red Hat将Lightwell Network正式发布,提供超过6500个经数字签名的Java和Python修复依赖项,并推出面向金融服务的Lightwell Clearinghouse Premier,支持补丁封禁协调,背后是50亿美元的开源安全投入承诺。

🤖

本文由人工智能基于一手来源生成。

IBM与Red Hat扩展了Lightwell——其用于开源软件漏洞自动修复的平台——推出两项面向管理大型开源依赖项组合的企业组织的新商业产品。

为什么开源安全已成为关键业务问题?

现代企业软件包含高达**90%**的开源组件。每一个流行依赖项中的漏洞都可能影响数千个组织,而在整个组合范围内手动追踪、测试和向后移植补丁在没有自动化的情况下是不可扩展的。Lightwell结合生成式AI和专业工程师的工作,使这一过程自动化并在工业规模上可靠运行。

该平台使用包含前沿和开源模型的流水线,由人工工程师验证结果。IBM和Red Hat将所有修复回馈上游社区——他们称之为「upstream-always」模型,确保修复惠及更广泛的生态系统,而不仅仅是企业用户。

Lightwell Network:6500+修复依赖项正式发布

首项新产品Lightwell Network今日正式发布。它提供对超过6500个经修复和数字签名的依赖项目录的访问,涵盖Java、Python及其他生态系统。

每个修复的依赖项都附带二进制文件、源代码和软件物料清单(SBOM),使组织能够完全了解软件供应链。集成直接在现有开发流水线中进行,无需代码漂移——组织无需更改架构或迁移到新的主要版本即可接收安全修复。

Lightwell Clearinghouse Premier:金融服务威胁协调

第二项产品Lightwell Clearinghouse Premier目前限量供应,当前专注于金融服务行业。它作为可信中间方,协调同一行业内的补丁封禁和威胁情报共享。

组织可以提交特定版本级别的漏洞进行针对性修复,而Clearinghouse Premier确保协调一致的补丁分发,在修复准备就绪之前不会使个别参与者暴露于风险中。计划扩展至政府、医疗和电信行业。

合作伙伴生态系统

IBM与Red Hat汇聚了广泛的技术和咨询合作伙伴生态系统。技术侧,平台得到AWS、AMD、F5、GitLab、Intel、JFrog、Microsoft、NVIDIAPalo Alto Networks的支持。将在企业环境中实施Lightwell的咨询合作伙伴包括IBM Consulting、Red Hat Consulting、Accenture、Deloitte以及众多全球IT服务提供商:Atos、Cognizant、EY、HCLTech、Infosys、Kyndryl和TCS。

50亿美元承诺

Lightwell得到IBM和Red Hat此前宣布的50亿美元开源安全投入承诺的支持。超过20000名工程师积极监督平台的开发和运营工作。

该平台目前覆盖数千至数百万个修复软件包的范围,其增长取决于生成式AI流水线识别、验证和打包企业仍在生产中使用却无法轻松升级的旧版本补丁的速度。

总结

Lightwell解决了一个长期以来通过零散手动修补处理的实际问题:如何确保拥有大型开源组合的企业在不通过主要版本升级破坏生产系统的情况下接收安全修复。Lightwell Network的正式发布和Clearinghouse Premier的限量供应共同标志着从概念验证阶段向商业基础设施的过渡,这可能成为企业DevSecOps流程的标准组成部分。

常见问题

什么是Lightwell Network,谁可以使用它?
Lightwell Network是包含6500多个经修复和数字签名的Java、Python及其他生态系统依赖项的目录,从今日起在正式发布版本中面向所有企业用户开放。
Lightwell Clearinghouse Premier有什么用途?
Clearinghouse Premier作为可信中间方,协调金融行业内的补丁封禁和威胁情报共享,并计划扩展至医疗、政府和电信行业。
IBM在开源安全方面投入了多少?
IBM与Red Hat承诺投入50亿美元用于开源安全,由超过20000名工程师监督Lightwell平台的运营。