IBM与红帽启动50亿美元"Lightwell计划" 重塑开源安全格局

IBM与旗下红帽公司日前联合启动了一项名为"Lightwell计划"（Project Lightwell）的开源安全倡议，承诺投入50亿美元资金，并调配超过2万名工程师参与其中。这是近年来企业级开源安全领域规模最大的单笔投入之一。

红帽自2019年被IBM收购以来，一直通过其工程师团队对自身产品组合中的软件漏洞进行发现和修复。而Lightwell计划将这一能力从红帽产品线拓展至更广泛的开源生态系统。该计划的核心目标，是帮助企业修复其软件所依赖的开源工具中存在的安全漏洞。IBM将通过订阅模式向客户提供Lightwell服务。

在实际开发中，企业将开源组件集成到应用时，使用的往往不是最新版本。即便采用了最新版本，该组件也可能因缺乏后续维护而逐渐过时，一旦发现漏洞，修补就会变得困难。许多情况下，针对旧版本开源工具的安全补丁不会立即推出，而安装补丁有时又要求将受影响的工具升级到最新版本，这可能需要对应用进行大量代码改动。

IBM和红帽的工程师将利用人工智能技术来发现开源项目中的安全漏洞，随后开发修复补丁，并将其回溯适配到客户所使用的特定版本上。IBM表示，这种"回溯补丁"机制将消除企业为了修复漏洞而被迫升级开源组件的痛点。

Lightwell计划还涵盖若干配套举措。IBM和红帽将向受影响开源项目的维护者披露工程师发现的漏洞，并创建一个"可信中介框架"来促进此类信息共享。

IBM首席执行官Arvind Krishna表示："通过Lightwell计划，IBM和红帽正在帮助定义一种全新的行业模式——将人工智能、工程专业能力与可信协作结合起来，从源头到整个供应链保障开源软件的安全。"

Lightwell计划的推出，可能会给软件供应链安全领域的初创公司带来更多竞争压力，例如去年融资2.8亿美元的Chainguard（提供开源项目的加固版本）以及专注于简化补丁安装流程的Socket等。