Компания IBM объявила о запуске масштабной инициативы в сфере кибербезопасности, выделив на нее 5 млрд долларов. Проект нацелен на то, чтобы помочь организациям надежнее защищать программное обеспечение с открытым исходным кодом — ту самую инфраструктуру, без которой сегодня трудно представить работу большинства ИТ-систем.
Что стоит за инициативой IBM
Новая программа получила название Project Lightwell. Ее ключевая идея — создать своего рода «клиринговую палату» (clearinghouse) по безопасности open source. В прикладном смысле это означает централизованный механизм, который помогает отслеживать риски, оценивать уязвимости и выстраивать управляемые процессы реагирования по всей цепочке поставки программного обеспечения.
Если говорить простыми словами, цепочка поставки ПО (software supply chain) — это весь путь кода от разработчиков и сторонних библиотек до конечного продукта, который использует компания. Чем больше компонентов подключено, тем сложнее гарантировать, что каждый из них не содержит скрытых проблем безопасности.
Почему open source оказался под прицелом
Open source — это код, который доступен бесплатно и может быть использован, изменен и доработан любым разработчиком. Такой подход ускоряет развитие технологий: компании берут готовые решения, интегрируют библиотеки и экономят время на написание базовой функциональности.
Но распространенность открытого кода играет и против защитников: злоумышленникам проще находить слабые места и использовать их массово. Дополнительный фактор — рост возможностей искусственного интеллекта. Как следствие, «плохим игрокам» становится проще быстрее выявлять уязвимости и подбирать эффективные способы их эксплуатации.
Пилот с крупными финорганизациями
Прежде чем перейти к коммерческому этапу, IBM и ее подразделение гибридных облаков Red Hat опробовали модель на ряде организаций. В пилотировании участвовали, в частности, Bank of America, JPMorgan Chase и Visa. Цель тестов заключалась в том, чтобы уточнить, как именно система будет находить уязвимости и помогать с их устранением в условиях сложных корпоративных программных ландшафтов.
Смысл таких пилотов обычно в том, чтобы «приземлить» теорию: проверить, насколько корректно модель работает на реальных наборах приложений, как она взаимодействует с существующими процессами обновлений и где чаще всего возникают риски.
Когда сервис появится и как будет работать
IBM планирует запустить Project Lightwell в качестве коммерческого предложения в течение ближайших 30 дней. С таким заявлением выступил старший вице-президент по программному обеспечению компании Rob Thomas.
По словам Томаса, сервис будет предоставляться по подписке. При этом стоимость, вероятнее всего, будет зависеть от того, сколько пакетов использует клиент. В практическом плане это может означать оплату за объем компонентов open source, которые организация проверяет и «обслуживает» через платформу.
Отдельно руководитель подчеркнул, что клиентам будет доступен некий «штамп одобрения» от клирингового механизма. Это должно служить подтверждением того, что используемый open source можно применять в промышленной эксплуатации (production) — то есть в рабочих средах, где риски простоя и инцидентов особенно критичны.
Центр для обмена информацией об уязвимостях
Project Lightwell задуман как центральный узел, где компании смогут:
- конфиденциально сообщать о найденных проблемах безопасности;
- получать проверенные исправления (fixes), прошедшие тестирование;
- передавать эти исправления в более широкое сообщество open source.
Такой подход важен, потому что уязвимости нередко выявляются в корпоративной среде, где информации может быть меньше, чем в публичных релизах. Появляется механизм, который ускоряет путь от обнаружения до исправления и возвращает ценность обратно в экосистему.
Защита на всем жизненном цикле ПО
Отдельный акцент в проекте сделан на том, что меры безопасности будут охватывать весь жизненный цикл программного продукта: от этапа разработки до эксплуатации в производственных средах. В результате компании смогут подключать одобренные патчи прямо к своим текущим системам, не выстраивая процесс проверки и верификации «с нуля».
Как это расширяет подход Red Hat
По замыслу IBM, Project Lightwell расширяет традиционную модель защиты, которой придерживается Red Hat. Ранее фокус часто был на обеспечении безопасности в рамках собственных платформ. Теперь же цель — распространить эту логику на более широкий набор независимых компонентов open source, включая библиотеки и AI-фреймворки.
Для бизнеса это означает более целостное управление рисками: когда в системе используются не только «свои» компоненты, но и сторонние модули, особенно в связке с решениями на базе ИИ, контроль безопасности становится сложнее — и именно поэтому нужен единый механизм оценки и исправлений.
