オープンソースのセキュリティは混乱 - IBMとRed Hatが50億ドルと2万人のエンジニアで修復に挑む

オープンソースソフトウェアのセキュリティは深刻な課題に直面しています。一方でAIは開発者のプログラミングを高速化し、バグをより迅速に発見するのに役立ちますが、他方でメンテナーは膨大な数の潜在的に深刻なバグ報告に圧倒されています。人気のオープンソースデータ転送プログラムcURLの創設者兼メンテナーであるDaniel Steinberg氏は、2025年のセキュリティ報告の流入速度は2024年の4〜5倍であり、初めて過重労働で燃え尽き寸前だと認め、より多くの企業に資金提供を求めました。

今、IBMとその子会社Red Hatがその呼びかけに応じました。彼らはProject Lightwellを発表しました。これはAIを活用した「初の試み」と称されるイニシアチブで、オープンソースソフトウェアの脆弱性を産業規模で発見・修正することを目的としています。Lightwellは、現代のエンタープライズITを支えるオープンソースコンポーネントを保護するための事実上のハブとなることを目指しています。

ただし、このイニシアチブは上流の開発者に直接資金を提供するわけではありません。代わりに、LightwellはIBMとRed HatのエンジニアにAIツールを提供し、ビジネスクリティカルなオープンソースプロジェクトに取り組んで可能な限り安全にします。AnthropicのMythos Previewモデルがわずか数週間でオープンソースソフトウェアに約3,900の深刻なセキュリティ脆弱性を特定したことから、より迅速な修正の緊急の必要性は明らかです。このステップを踏むために、両社は今後数年間で50億ドルを投資し、最先端のAIモデル、ツール、およびオープンソースセキュリティに特化したグローバルなエンジニアリング組織を展開します。また、2万人のエンジニアを投入し、オープンソースリスクを一次のサプライチェーン問題として扱います。

Project Lightwellの中核は、企業と彼らが依存するソフトウェアを構築する上流コミュニティとの間のギャップを埋める新しい運用モデルです。別のバグ報奨金プログラムやコードスキャンサービスを立ち上げるのではなく、IBMとRed HatはLightwellを信頼できる仲介者として位置づけています。企業は実行しているオープンソースソフトウェアに関する情報を提供し、LightwellのエンジニアはAIを使用して欠陥を探し、修正案を提案します。その後、エンジニアは上流のメンテナーと協力してパッチをマージしてリリースします。

このプロジェクトは、現在内部セキュリティチーム、サードパーティのスキャナー、コミュニティメンテナーに分散している複数の機能を統合します。これには、大規模な脆弱性発見、トリアージと優先順位付け、パッチ開発、バックポート、および企業が実際にデプロイする特定バージョンの長期ライフサイクルサポートが含まれます。うまくいけば、このアプローチは手動修正の細流を、プロジェクトガバナンスとオープンな開発規範を尊重しつつ、高通量の修正パイプラインに変えます。

IBMの会長兼CEOであるArvind Krishna氏は、「Project Lightwellにより、IBMとRed Hatは、AI、エンジニアリングの専門知識、信頼できるコラボレーションを組み合わせ、オープンソースソフトウェアをその発生源とサプライチェーン全体で保護する新しい業界モデルを定義する支援をしています」と述べました。

Lightwellはまず、AIが登場する前から大規模な悪用が行われていたMaven/Javaエコシステムから始まります。その後、PyPI、npm、Go、その他の重要なオープンソースコードベースに拡大されます。IBMの最新AIモデルがLightwellを駆動し、これらのシステムは大規模なコードベース、依存関係グラフ、構成アーカイブをスキャンして潜在的な脆弱性を探し、人間のエンジニアが検証した後で上流または顧客環境に送信される候補パッチを生成するようにトレーニングされます。

両社は、AIをセキュリティクリティカルなコードに信頼するためには、この人間参加型アプローチが不可欠であると主張しています。モデルは人間のレビュアーがカバーする時間がないパターンや問題を浮き彫りにできますが、安全で許容可能な修正を構成するものについての最終決定は経験豊富なエンジニアとプロジェクトメンテナーに委ねられます。実際には、Lightwellはコミュニティに対して、特に大規模で組織化された貢献者として現れ、不透明な自動化レイヤーが未承諾のプルリクエストをドロップするようには見えないことを意図しています。

Red Hatにとって、Project Lightwellは数十年にわたって磨かれたプレイブックを拡張します。このイニシアチブは上流のオープンソースを取り込み、企業向けに強化およびサポートし、改善をコミュニティにプッシュバックします。違いは範囲です。Red Hatの従来のモデルはRHEL、OpenShift、Ansibleなどの自社製品プラットフォームに集中していましたが、Lightwellは銀行システムからAIパイプラインまでを静かに支えるライブラリ、フレームワーク、ツールの広大なロングテールをターゲットにします。

両社は、Lightwellのエンジニアが問題を報告し、パッチを提案し、既存のプロジェクトリーダーとともに重要なコンポーネントを共同メンテナンスする（フォークや置き換えではない）と述べています。上流のメンテナーが修正に同意しないか、古いブランチのサポートを拒否した場合でも、Lightwellは顧客向けに強化されたバックポートを提供できます。しかし、IBMとRed Hatはデフォルトのパスは上流優先であり、ハブはエンタープライズの生産要求とコミュニティのリリースサイクルの間の橋渡しとして機能すると主張しています。

同時に、IBMとRed Hatは「これらの機能は商用サブスクリプションを通じて提供され、企業は検証済みのパッチをエンタープライズグレードの検証とライフサイクル管理とともに既存のソフトウェアサプライチェーンに直接統合できるようになります」と明言しました。これらのサブスクリプションは既存のソフトウェアサプライチェーンへのオーバーレイとして位置づけられ、新しいディストリビューションではありません。Lightwellは企業がすでに使用しているCI/CD、レジストリ、SBOMプロセスにプラグインし、API、カタログ、統合を介して検証済みの修正とポリシー決定を提供します。

IBMのソフトウェア上級副社長Rob Thomas氏はReutersに対し、「このサービスは今後30日以内に商用オファリングとして開始されます」と語りました。このサブスクリプションはおそらく使用されるパッケージ数に応じて価格設定され、顧客に「オープンソースが本番環境で安全に使用できるというハブからの承認印」を提供します。

しかし、上流のオープンソース開発者とそのビジネスはこの新しいアプローチにどのように適合するのでしょうか？この提案された信頼できるエンタープライズハブは、大企業の事実上のゲートキーパーになるのでしょうか？すべてのパッチが上流リポジトリに配置された場合、顧客は正確に何にお金を払うのでしょうか？これらはすべて良い質問であり、現時点では明確な答えはありません。続報にご期待ください。