Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- Lightwell é um grande esforço para proteger software program de código aberto.
- A IBM e a Pink Hat estão investindo nesta enorme iniciativa de segurança.
- Ainda não sabemos como funcionará este serviço baseado em assinatura.
A IA é uma bênção mista para o software program de código aberto. Por um lado, a IA pode ajudar os desenvolvedores a programar e encontrar bugs com mais rapidez. Por outro lado, os mantenedores estão sendo sobrecarregados pelo grande quantity de relatórios de bugs potencialmente graves.
Como Daniel Steinberg, fundador e mantenedor do common programa de transferência de dados de código aberto curvaturadisse recentemente: “A taxa de os relatórios de segurança recebidos são quatro a cinco vezes maiores do que em 2024 e o dobro da velocidade de 2025.” Pela primeira vez, ele confessou: “Trabalho mais do que antes, mas a enchente continua chegando.” Steinberg está à beira do esgotamento. Então, ele pediu que mais empresas “nos financiassem”, para que pudessem então pagar mais desenvolvedores para distribuir a carga de trabalho.” Agora, IBM e sua subsidiária Chapéu Vermelho ouvi o chamado.
Além disso: a alternativa de código aberto da Europa ao Microsoft Workplace e ao Google Docs será lançada em 9 de junho
A resposta deles é Projeto Lightwelluma iniciativa alimentada por IA que eles descreveram como uma “força inédita” para encontrar e corrigir vulnerabilidades em software program de código aberto em escala industrial. Lightwell pretende se tornar uma câmara de compensação de fato para proteger os componentes de código aberto que sustentam a TI empresarial moderna.
No entanto, a iniciativa não pagará aos desenvolvedores upstream. Em vez disso, Lightwell fornece aos engenheiros da IBM e da Pink Hat ferramentas de IA para trabalhar em projetos de código aberto importantes e críticos para os negócios e torná-los o mais seguros possível. Desde a Antrópico O modelo Mythos Preview já identificou quase 3.900 vulnerabilidades graves de segurança em software de código aberto em apenas algumas semanas, a necessidade urgente de soluções mais rápidas é evidente.
Para dar este passo, as duas empresas investirão 5 mil milhões de dólares nos próximos anos para implementar modelos de IA em escala de fronteira, ferramentas e uma organização world de engenharia dedicada à segurança de código aberto. Este movimento não é apenas uma jogada de IA. As empresas também dedicarão 20 mil engenheiros para tratar o risco de código aberto como um problema da cadeia de fornecimento de primeira ordem, e não como uma tarefa de manutenção secundária.
Além disso: Rust salvará o Linux da IA, diz Greg Kroah-Hartman
Afinal, como David Gerwitz, da ZDNET, apontou recentemente, “a segurança tradicional de aplicativos não é mais suficiente”. Não está nem perto de ser suficiente.
Aumentando a segurança do código-fonte aberto
No centro do Projeto Lightwell está um novo modelo operacional que preenche a lacuna entre as empresas e as comunidades upstream que constroem o software program do qual dependem. Em vez de lançar mais um programa de recompensa de bugs ou serviço de verificação de código, a IBM e a Pink Hat estão apresentando o Lightwell como um intermediário confiável. Ou seja, as empresas alimentarão a iniciativa com informações sobre o software program de código aberto que executam. Em seguida, os engenheiros da Lightwell usarão a IA para procurar falhas e propor soluções. Depois disso, seus engenheiros trabalharão com os mantenedores originais para mesclar e enviar os patches.
As empresas afirmaram que esta câmara de compensação combinará diversas funções que hoje estão fragmentadas entre equipas de segurança internas, scanners de terceiros e mantenedores da comunidade. Essas funções incluem descoberta de vulnerabilidades em grande escala, triagem e priorização, desenvolvimento de patches, backporting e suporte ao ciclo de vida de longo prazo para versões específicas que as empresas realmente implantam. Se tudo correr bem, esta abordagem transformará as pequenas correções manuais num pipeline de remediação de alto rendimento que ainda respeita a governação do projeto e as normas abertas de desenvolvimento.
Como disse Arvind Krishna, presidente e CEO da IBM, em comunicado: “Com o Projeto Lightwell, A IBM e a Red Hat estão ajudando a definir um novo modelo de indústria, um sistema que reúna IA, experiência em engenharia e colaboração confiável para proteger software program de código aberto em sua fonte e em toda a cadeia de fornecimento.”
Além disso: quase metade dos profissionais de segurança cibernética querem desistir – eis o porquê
Lightwell começará com o ecossistema Maven/Java, que testemunhou enormes abusos antes mesmo de a IA aparecer em cena. O projeto será então expandido para PyPI, npm, Go e outras importantes bases de código de código aberto.
Os mais recentes modelos de IA da IBM irão impulsionar o Lightwell. Esses sistemas serão treinados para verificar bases de código massivas, gráficos de dependência e arquivos de configuração em busca de possíveis vulnerabilidades e, em seguida, gerar patches candidatos que os engenheiros humanos validam antes que qualquer coisa vá para o upstream ou para os ambientes do cliente.
Além disso: 10 maneiras pelas quais a IA pode infligir danos sem precedentes em 2026
As empresas argumentaram que esta abordagem humana é essencial para que se possa confiar à IA o código crítico de segurança. Os modelos podem revelar padrões e questões que os revisores humanos nunca teriam tempo de abordar, disse a IBM. No entanto, as decisões finais sobre o que constitui uma solução segura e aceitável permanecerão com engenheiros experientes e mantenedores de projetos. Na prática, Lightwell pretende aparecer para as comunidades como um contribuidor particularmente grande e bem organizado, e não como uma camada de automação opaca que descarta solicitações pull não solicitadas.
Trabalhando com, e não ao redor, upstream
Para a Pink Hat, o Projeto Lightwell estende um handbook aprimorado há décadas. A iniciativa adotará o código aberto upstream, fortalecerá e apoiará as empresas e levará as melhorias de volta à comunidade. A diferença é o escopo. Embora o modelo tradicional da Pink Hat tenha se centrado em plataformas como seus próprios produtos, incluindo Pink Hat Enterprise Linux (RHEL), OpenShift e Ansible, Lightwell terá como alvo a longa cauda de bibliotecas, estruturas e ferramentas que sustentam silenciosamente tudo, desde sistemas bancários até pipelines de IA.
Além disso: Pink Hat Desktop vs. Fedora Hummingbird: Qual caminho Linux de desenvolvimento de IA é certo para você?
As empresas disseram que os engenheiros da Lightwell registrarão problemas, proporão patches e co-manterão componentes críticos junto com os líderes de projeto existentes, em vez de bifurcá-los ou substituí-los. Quando os mantenedores upstream discordam de uma correção ou recusam o suporte a uma filial mais antiga, a Lightwell ainda será capaz de oferecer backports reforçados para seus clientes. Mas a IBM e a Pink Hat insistiram que o caminho padrão é o upstream primeiro, com a câmara de compensação atuando como uma ponte entre as demandas de produção empresarial e as cadências de lançamento da comunidade.
Risco da cadeia de suprimentos como uma oportunidade
Ao mesmo tempo, a IBM e a Pink Hat disseram explicitamente: “Esses recursos serão oferecidos por meio de assinaturas comerciais, permitindo que as empresas integrem patches seguros diretamente em suas cadeias de fornecimento de software program existentes com validação de nível empresarial e gerenciamento do ciclo de vida”.
Essas assinaturas são posicionadas como uma sobreposição nas cadeias de fornecimento de software program existentes, não como uma nova distribuição: Lightwell se conecta a integração contínua e implantação contínua (CI/CD), registros e processos de lista de materiais de software program (SBOM) que as empresas já usam, fornecendo correções verificadas e decisões políticas por meio de APIs, catálogos e integrações.
Além disso: Por que os arquitetos de negócios estão preparados para liderar a revolução corporativa da IA
O vice-presidente sênior de software program da IBM, Rob Thomas, disse à Reuters: “O serviço será lançado como uma oferta comercial nos próximos 30 dias.” Esta assinatura, que provavelmente terá um preço de acordo com o número de pacotes usados, fornecerá aos clientes um “selo de aprovação da câmara de compensação de que seu código aberto é seguro para uso em produção”.
Esse serviço é muito bom e certamente as duas empresas poderosas investirão muito dinheiro e merecerão obter lucro, mas como os desenvolvedores upstream de código aberto e seus negócios se encaixam nessa nova abordagem? Será que esta proposta de câmara de compensação empresarial confiável se tornará um guardião de fato para as grandes empresas? Se todos os patches forem colocados em repositórios upstream, pelo que exatamente os clientes estarão pagando?
Todas essas são boas perguntas e, no momento, não há boas respostas. Fique atento.
