Sekite ZDNET: Pridėkite mus kaip pageidaujamą šaltinį „Google“.
Pagrindiniai ZDNET pasiūlymai
- „Lightwell“ yra didžiulė pastanga apsaugoti atvirojo kodo programinę įrangą.
- IBM ir Red Hat investuoja į šią didžiulę saugumo iniciatyvą.
- Kol kas nežinome, kaip veiks ši prenumerata pagrįsta paslauga.
AI yra mišri atvirojo kodo programinės įrangos palaima. Viena vertus, AI gali padėti kūrėjams greičiau programuoti ir greičiau rasti klaidas. Kita vertus, prižiūrėtojai yra priblokšti dėl daugybės pranešimų apie potencialiai rimtas klaidas.
Kaip neseniai pasakė Danielis Steinbergas, populiarios atvirojo kodo duomenų perdavimo programos cURL įkūrėjas ir prižiūrėtojas, „gaunamų saugos ataskaitų skaičius yra keturis ar penkis kartus didesnis nei 2024 m. ir dvigubai didesnis nei 2025 m.“. Pirmą kartą jis prisipažino: „Dirbu daugiau nei anksčiau, bet potvynis vis ateina“. Steinbergas yra ant perdegimo ribos. Taigi jis paprašė daugiau įmonių „mums finansuoti“, kad jos galėtų mokėti daugiau kūrėjams, kad paskirstytų darbo krūvį.“ Dabar IBM ir jos dukterinė įmonė „Red Hat“ išgirdo raginimą.
Taip pat: Europos atvirojo kodo alternatyva Microsoft Office ir Google Docs pristatoma birželio 9 d
Jų atsakymas yra „Project Lightwell“, AI pagrįsta iniciatyva, kurią jie apibūdino kaip „pirmą tokio pobūdžio jėgą“, skirtą pramoniniu mastu rasti ir ištaisyti atvirojo kodo programinės įrangos spragas. „Lightwell“ siekia tapti de facto atviro kodo komponentų, kuriais grindžiama šiuolaikinės įmonės IT, apsaugos centru.
Tačiau už iniciatyvą kūrėjams nebus mokama. Vietoj to, „Lightwell“ teikia IBM ir „Red Hat“ inžinieriams dirbtinio intelekto įrankius, kad jie galėtų dirbti su svarbiais, verslui svarbiais atvirojo kodo projektais ir padaryti juos kuo saugesnius. Kadangi „Anthropic“ „Mythos Preview“ modelis vos per kelias savaites jau nustatė beveik 3900 rimtų atvirojo kodo programinės įrangos saugumo spragų, skubus greitesnių pataisymų poreikis yra visiškai aiškus.
Siekdamos žengti šį žingsnį, abi bendrovės per ateinančius metus investuos 5 milijardus USD, kad sukurtų pažangius AI modelius, įrankius ir pasaulinę inžinerinę organizaciją, skirtą atvirojo kodo saugumui. Šis žingsnis nėra tik AI žaidimas. Bendrovės taip pat skirs 20 000 inžinierių, kad atvirojo kodo rizika būtų traktuojama kaip pirmos eilės tiekimo grandinės problema, o ne kaip pagrindinės priežiūros užduotis.
Taip pat: Rust išgelbės Linux nuo AI, sako Gregas Kroah-Hartmanas
Galų gale, kaip neseniai pabrėžė pats ZDNET Davidas Gerwitzas, „tradicinio programų saugumo nebepakanka“. Net toli gražu neužtenka.
Atvirojo kodo saugumo didinimas
Projekto „Lightwell“ esmė yra naujas veikimo modelis, kuris užpildo atotrūkį tarp įmonių ir ankstesnių bendruomenių, kuriančių programinę įrangą, kuria jos remiasi. Užuot paleidę dar vieną klaidų mažinimo programą ar kodų nuskaitymo paslaugą, IBM ir Red Hat siūlo Lightwell kaip patikimą tarpininką. Tai reiškia, kad įmonės pateiks iniciatyvai informaciją apie jų naudojamą atvirojo kodo programinę įrangą. Tada „Lightwell“ inžinieriai naudos dirbtinį intelektą, kad ieškotų trūkumų ir pasiūlytų pataisymus. Po to jos inžinieriai dirbs su ankstesniais prižiūrėtojais, kad pataisos būtų sujungtos ir išsiųstos.
Bendrovės teigė, kad šis informacijos centras apjungs kelias funkcijas, kurios šiandien yra suskaidytos vidaus saugumo komandoms, trečiųjų šalių skaitytuvams ir bendruomenės prižiūrėtojams. Šios funkcijos apima didelio masto pažeidžiamumo aptikimą, skirstymą ir prioritetų nustatymą, pataisų kūrimą, atgalinį perkėlimą ir ilgalaikį konkrečių versijų, kurias iš tikrųjų diegia įmonės, gyvavimo ciklo palaikymą. Jei viskas klostysis gerai, taikant šį metodą rankinių pataisymų srautas bus paverstas didelio našumo ištaisymo vamzdynu, kuriame vis dar laikomasi projekto valdymo ir atviros plėtros normų.
Arvindas Krishna, IBM pirmininkas ir generalinis direktorius, sakė pareiškime: „Su Project Lightwell, IBM ir Red Hat padeda apibrėžti naują pramonės modelį, kuris sujungia AI, inžinerines žinias ir patikimą bendradarbiavimą, kad būtų apsaugota atvirojo kodo programinė įranga jos šaltinyje ir visoje tiekimo grandinėje.
Taip pat: beveik pusė kibernetinio saugumo profesionalų nori mesti – štai kodėl
„Lightwell“ pradės nuo „Maven“ / „Java“ ekosistemos, kuri buvo didžiulio piktnaudžiavimo liudininkė dar prieš pasirodant AI. Tada projektas bus išplėstas naudojant PyPI, npm, Go ir kitas svarbias atvirojo kodo bazes.
Naujausi IBM AI modeliai naudos „Lightwell“. Šios sistemos bus išmokytos nuskaityti didžiules kodų bazes, priklausomybės grafikus ir konfigūracijos archyvus, kad būtų galima rasti galimų pažeidžiamumų, tada generuoti pataisas, kurias žmonių inžinieriai patvirtina prieš pradėdami veikti arba į klientų aplinką.
Taip pat: 10 būdų, kaip dirbtinis intelektas gali padaryti precedento neturinčią žalą 2026 m
Bendrovės tvirtino, kad šis „žmogaus ciklo“ metodas yra būtinas, jei dirbtiniu intelektu reikia pasitikėti saugumui svarbiu kodu. Modeliai gali atskleisti modelius ir problemas, kurių vertintojai niekada neturėtų laiko, sakė IBM. Tačiau galutinius sprendimus, kas yra saugus ir priimtinas pataisymas, priims patyrę inžinieriai ir projektų prižiūrėtojai. Praktiškai „Lightwell“ bendruomenėms turėtų pasirodyti kaip ypač didelis ir gerai organizuotas bendradarbis, o ne kaip nepermatomas automatikos sluoksnis, atmetantis nepageidaujamas traukimo užklausas.
Darbas su, o ne šalia, prieš srovę
„Red Hat“ projektas Lightwell pratęsia dešimtmečius šlifuotą knygą. Iniciatyva bus nukreipta į atvirąjį kodą, sustiprins ir palaikys jį įmonėms, o patobulinimus grąžins bendruomenei. Skirtumas yra apimtis. Nors tradicinis „Red Hat“ modelis buvo sutelktas į tokias platformas kaip jos produktai, įskaitant „Red Hat Enterprise Linux“ (RHEL), „OpenShift“ ir „Ansible“, „Lightwell“ taikys ilgą bibliotekų, struktūrų ir įrankių, kurie tyliai palaiko viską nuo bankų sistemų iki dirbtinio intelekto vamzdynų, uodegą.
Taip pat: „Red Hat Desktop“ ir „Fedora Hummingbird“: kuris AI kūrimo „Linux“ kelias jums tinka?
Bendrovės teigė, kad „Lightwell“ inžinieriai pateiks problemas, siūlys pataisas ir kartu prižiūrės svarbiausius komponentus kartu su esamais projekto lyderiais, o ne juos išskirs ar pakeis. Kai tiekėjai nesutinka su pataisymu arba atsisako palaikyti senesnę šaką, „Lightwell“ vis tiek galės nešiotis sustiprintus atgalinius prievadus savo klientams. Tačiau IBM ir „Red Hat“ tvirtino, kad numatytasis kelias yra pirmiausia prieš srovę, o kliringo centras veikia kaip tiltas tarp įmonės gamybos poreikių ir bendruomenės išleidimo tempų.
Tiekimo grandinės rizika kaip galimybė
Tuo pat metu IBM ir Red Hat aiškiai pasakė: „Šios galimybės bus siūlomos per komercines prenumeratas, leidžiančias įmonėms integruoti saugius pataisymus tiesiai į esamas programinės įrangos tiekimo grandines su įmonės lygio patvirtinimu ir gyvavimo ciklo valdymu“.
Šios prenumeratos yra esamų programinės įrangos tiekimo grandinių perdanga, o ne naujas platinimas: „Lightwell“ prisijungia prie nuolatinio integravimo ir nuolatinio diegimo (CI / CD), registrų ir programinės įrangos medžiagų sąmatos (SBOM) procesų, kuriuos įmonės jau naudoja, pateikdamos patikrintus pataisymus ir politikos sprendimus per API, katalogus ir integracijas.
Taip pat: Kodėl verslo architektai yra pasirengę vadovauti įmonių AI revoliucijai
IBM vyresnysis programinės įrangos viceprezidentas Robas Thomasas sakė Reuters: „Paslauga bus pradėta teikti kaip komercinis pasiūlymas per ateinančias 30 dienų“. Ši prenumerata, kurios kaina tikriausiai bus apskaičiuojama pagal naudojamų paketų skaičių, suteiks klientams „kliringo centro patvirtinimo antspaudą, kad jų atvirojo kodo saugu naudoti gamyboje“.
Ši paslauga yra gera ir neabejotinai dvi galingos įmonės investuos daug pinigų ir nusipelno pelno, tačiau kaip atvirojo kodo kūrėjai ir jų verslas prisitaiko prie šio naujo požiūrio? Ar šis siūlomas patikimas įmonių tarpuskaitos centras taps de facto didelių įmonių vartų sargu? Jei visi pleistrai bus patalpinti ankstesnėse saugyklose, už ką tiksliai mokės klientai?
Tai visi geri klausimai, ir šiuo metu nėra gerų atsakymų. Sekite naujienas.
