אבטחת קוד פתוח היא בלגן – יבמ ורד האט הימרו על 5 מיליארד דולר ו-20,000 מהנדסים יכולים לתקן את זה
עקוב אחר ZDNET: הוסף אותנו כמקור מועדף בגוגל.
נקודות המפתח של ZDNET
- Lightwell הוא מאמץ עצום להגן על תוכנת קוד פתוח.
- יבמ ורד האט משקיעות ביוזמת אבטחה ענקית זו.
- אנחנו עדיין לא יודעים איך השירות מבוסס המנוי הזה יעבוד.
בינה מלאכותית היא ברכה מעורבת לתוכנת קוד פתוח. מצד אחד, AI יכול לעזור למפתחים לתכנת מהר יותר ולמצוא באגים מהר יותר. מצד שני, המתחזקים המומים מהכמות העצומה של דיווחי באגים שעלולים להיות רציניים.
בתור דניאל שטיינברג, מייסד ומתחזק של תוכנית העברת הנתונים הפופולרית בקוד פתוח סִלְסוּלאמר לאחרונה, "השיעור של דוחות האבטחה הנכנסים גבוהים פי ארבעה עד חמישה ממה שהיה ב-2024 ולהכפיל את המהירות של 2025". לראשונה, הוא התוודה, "אני עובד יותר ממה שעשיתי בעבר, אבל המבול ממשיך להגיע". שטיינברג על סף שריפה. לכן, הוא ביקש עוד חברות "לממן אותנו" כדי שיוכלו לשלם יותר למפתחים כדי לחלק את העומס". עַכשָׁיו, IBM והחברה הבת שלה רד האט שמעו את השיחה.
כמו כן: חלופת הקוד הפתוח של אירופה ל-Microsoft Office ו-Google Docs מושקת ב-9 ביוני
התשובה שלהם היא פרויקט Lightwellיוזמה מבוססת בינה מלאכותית שהם תיארו כ"כוח ראשון מסוגו" לאיתור ולתיקון נקודות תורפה בתוכנת קוד פתוח בקנה מידה תעשייתי. Lightwell שואפת להפוך למסלקה דה פקטו לאבטחת רכיבי הקוד הפתוח העומדים בבסיס ה-IT הארגוני המודרני.
עם זאת, היוזמה לא תשלם למפתחים במעלה הזרם. במקום זאת, Lightwell מספקת למהנדסי IBM ו-Red Hat כלי בינה מלאכותית לעבודה על פרויקטים חשובים, קריטיים לעסקים בקוד פתוח ולהפוך אותם לאבטחים ככל האפשר. מאז אנתרופיק מודל Mythos Preview כבר זיהה כמעט 3,900 פרצות אבטחה חמורות בתוכנת קוד פתוח תוך מספר שבועות בלבד, הצורך הדחוף בתיקונים מהירים יותר ברור.
כדי לעשות את הצעד הזה, שתי החברות ישקיעו 5 מיליארד דולר במהלך השנים הבאות כדי להשיק מודלים של AI בקנה מידה גבול, כלי עבודה וארגון הנדסי גלובלי המוקדש לאבטחת קוד פתוח. המהלך הזה הוא לא רק משחק בינה מלאכותית. החברות גם יקדישו 20,000 מהנדסים לטיפול בסיכון בקוד פתוח כבעיית שרשרת אספקה מסדר ראשון, ולא כמטלת תחזוקה רקע.
כמו כן: Rust תציל את לינוקס מ-AI, אומר גרג קרוה-הרטמן
אחרי הכל, כפי שציין לאחרונה דוד גרביץ של ZDNET עצמו, "אבטחת יישומים מסורתית כבר לא מספיקה". זה אפילו לא קרוב להספיק.
חיזוק אבטחת קוד פתוח
בלב Project Lightwell נמצא מודל תפעולי חדש המגשר על הפער בין ארגונים לקהילות במעלה הזרם שבונה את התוכנה עליה הם מסתמכים. במקום להשיק עוד תוכנית שפע של באגים או שירות סריקת קוד, IBM ו-Red Hat מציגות את Lightwell כמתווך מהימן. כלומר, עסקים יזינו את היוזמה במידע על תוכנת הקוד הפתוח שהם מפעילים. לאחר מכן, מהנדסי Lightwell ישתמשו בבינה מלאכותית כדי לחפש פגמים ולהציע תיקונים. לאחר מכן, המהנדסים שלה יעבדו עם מתחזקים במעלה הזרם כדי למזג ולשלוח תיקונים.
החברות אמרו שהמסלקה הזו תשלב מספר פונקציות שהיום מפוצלות בין צוותי אבטחה פנימיים, סורקים של צד שלישי ותחזקי קהילה. פונקציות אלו כוללות גילוי פגיעות בקנה מידה גדול, ניסוי ותעדוף, פיתוח תיקונים, העברת תקדים ותמיכה במחזור חיים ארוך טווח עבור הגרסאות הספציפיות שארגונים פורסים בפועל. אם הכל ילך כשורה, גישה זו תהפוך את טפטוף התיקונים הידניים לצינור תיקון בעל תפוקה גבוהה שעדיין מכבד את ניהול הפרויקט ואת נורמות הפיתוח הפתוחות.
כפי שאמר ארווינד קרישנה, יו"ר ומנכ"ל IBM, בהצהרה, "עם Project Lightwell, IBM ו-Red Hat עוזרות להגדיר מודל תעשייתי חדש, כזה שמפגיש בין בינה מלאכותית, מומחיות הנדסית ושיתוף פעולה מהימן, כדי לאבטח תוכנת קוד פתוח במקור שלה ולרוחב שרשרת האספקה כולה."
כמו כן: כמעט מחצית ממקצועני אבטחת הסייבר רוצים להפסיק – הנה הסיבה
Lightwell תתחיל עם המערכת האקולוגית של Maven/Java, שהייתה עדה להתעללות עצומה עוד לפני שה-AI הופיע בזירה. לאחר מכן, הפרויקט יורחב על פני PyPI, npm, Go ובסיסי קוד פתוח חשובים אחרים.
דגמי הבינה המלאכותית העדכנית של יבמ תניע את Lightwell. מערכות אלו יוכשרו לסרוק בסיסי קוד מסיביים, גרפי תלות וארכיוני תצורה לאיתור פגיעויות פוטנציאליות, ולאחר מכן ליצור תיקוני מועמדים שמהנדסי אנוש יאמתו לפני שמשהו יעבור במעלה הזרם או לתוך סביבות לקוחות.
כמו כן: 10 דרכים שבהן AI יכול לגרום נזק חסר תקדים בשנת 2026
החברות טענו שגישת האדם-במעגל הזה חיונית אם יש לסמוך על AI עם קוד קריטי לאבטחה. מודלים יכולים לעלות על דפוסים ובעיות שסוקרים אנושיים לעולם לא יספיקו לכסות, אמרה IBM. עם זאת, החלטות סופיות לגבי מהו תיקון בטוח ומקובל יישארו בידי מהנדסים ותחזקי פרויקטים מנוסים. בפועל, Lightwell אמורה להיראות לקהילות כתורם גדול ומאורגן במיוחד, ולא כשכבת אוטומציה אטומה המבטלת בקשות משיכה לא רצויות.
עבודה עם, לא מסביב, במעלה הזרם
עבור Red Hat, Project Lightwell מרחיב ספר משחק מושחז במשך עשרות שנים. היוזמה תיקח קוד פתוח במעלה הזרם, תחזק ותתמוך בו עבור ארגונים, ותדחוף שיפורים בחזרה לקהילה. ההבדל הוא היקף. בעוד שהמודל המסורתי של Red Hat התרכז בפלטפורמות כמו המוצרים שלה, לרבות Red Hat Enterprise Linux (RHEL), OpenShift ו-Ansible, Lightwell תכוון לזנב הארוך רחב הידיים של ספריות, מסגרות וכלים שעומדים בשקט בבסיס כל דבר, ממערכות בנקאיות ועד צינורות בינה מלאכותית.
כמו כן: Red Hat Desktop לעומת Fedora Hummingbird: איזה נתיב לינוקס לפיתוח AI מתאים לך?
החברות אמרו שמהנדסי Lightwell יגישו בעיות, יציעו תיקונים ויתחזקו ביחד רכיבים קריטיים לצד מובילי פרויקטים קיימים במקום להתפצל או להחליף אותם. כאשר מתחזקות הזרמים לא מסכימות עם תיקון או מסרבות לתמוך בסניף ישן יותר, Lightwell עדיין תוכל לשאת יציאות אחוריות מוקשחות עבור לקוחותיה. אבל IBM ו-Red Hat התעקשו שנתיב ברירת המחדל הוא במעלה הזרם-ראשון, כאשר המסלקה פועלת כגשר בין דרישות ייצור ארגוניות לבין קצבי שחרור קהילתיים.
סיכון שרשרת האספקה כהזדמנות
במקביל, IBM ו-Red Hat אמרו במפורש, "היכולות הללו יוצעו באמצעות מנויים מסחריים, שיאפשרו לארגונים לשלב תיקונים מאובטחים ישירות בשרשרת האספקה הקיימת של התוכנה שלהם עם אימות ברמה ארגונית וניהול מחזור חיים".
מנויים אלה ממוקמים כשכבת-על על שרשראות אספקת תוכנה קיימות, ולא כחלק חדש: Lightwell מתחבר לתהליכי אינטגרציה רציפה ופריסה מתמשכת (CI/CD), רישום ותהליכים של תוכנת חומרי גלם (SBOM), ומספקת תיקונים בדוקים והחלטות מדיניות באמצעות ממשקי API, קטלוגים ואינטגרציות.
כמו כן: מדוע אדריכלים עסקיים מוכנים להוביל את מהפכת הבינה המלאכותית הארגונית
סמנכ"ל התוכנה הבכיר של IBM, רוב תומס, אמר לרויטרס, "השירות יושק כהיצע מסחרי ב-30 הימים הקרובים". מנוי זה, שככל הנראה יתומחר לפי מספר החבילות בשימוש, יעניק ללקוחות "חותמת אישור מהמסלקה שהקוד הפתוח שלהם בטוח לשימוש בייצור".
השירות הזה טוב ויפה, ובוודאי ששתי חברות הכוח ישקיעו המון כסף ויגיעו להרוויח, אבל איך מפתחי הקוד הפתוח במעלה הזרם והעסקים שלהם משתלבים בגישה החדשה הזו? האם מסלקת ארגונית מהימנה המוצעת תהפוך לשומר סף דה פקטו עבור חברות גדולות? אם התיקונים ממוקמים כולם במאגרים במעלה הזרם, על מה בדיוק ישלמו הלקוחות?
כל אלה שאלות טובות, וכרגע אין תשובות טובות. הישארו מעודכנים.