IBM вложит $5 млрд в защита open-source ПО

IBM объявила о запуске инициативы Project Lightwell, в которую компания собирается вложить $5 млрд. Проект должен помочь бизнесу лучше защищать open-source компоненты, которые сегодня используются почти в любой корпоративной инфраструктуре — от библиотек и фреймворков до AI-инструментов и больших облачных систем.

Смысл проекта в том, чтобы создать своего рода единый центр проверки и координации безопасности для open source. В IBM говорят, что Project Lightwell будет работать как “clearinghouse”: компании смогут конфиденциально сообщать об уязвимостях, получать проверенные исправления и затем делиться этими фикcами с более широким open-source сообществом.

Ставка понятна. Открытое ПО давно стало базой для огромного числа корпоративных систем, но именно поэтому оно остаётся одной из самых удобных целей для атакующих. На этом фоне ИИ только усиливает проблему: искать слабые места, анализировать исходник и ускорять эксплуатацию уязвимостей становится всё проще. IBM явно пытается занять нишу инфраструктурного посредника, который будет не просто находить проблемы, а выстраивать для компаний более управляемый процесс работы с безопасностью open-source supply chain.

Инициатива уже тестировался наряду с несколькими крупными клиентами, в том числе Bank of America, JPMorgan и Visa. Согласно заявлению IBM, этот этап помог доработать подход к тому, как выявлять и закрывать уязвимости в сложных корпоративных системах, где используются десятки и сотни сторонних пакетов и зависимостей.

Коммерческий запускание сервиса ожидается в ближайшие 30 дней. Он будет распространяться по подписочной модели, а стоимость, как ожидается, станет зависеть от количества используемых пакетов. По сути, IBM хочет продавать компаниям не только сам сервис, но и доверие: идея в том, что заказчик получает условный “знак качества”, подтверждающий, что его open-source компоненты безопасны для использования в production.

Отдельно важно, что Project Lightwell выходит за рамки привычного подхода Red Hat, которая традиционно отвечала за безопасность в пределах собственных платформ. Теперь речь идёт о более широкой экосистеме независимых open-source библиотек, компонентов и AI-фреймворков, которые часто живут вне единого контура контроля.