開源安全一團糟 - IBM和紅帽押注50億美元和2萬名工程師能修復它

開源軟件的安全性正面臨嚴峻挑戰。一方面，AI可以幫助開發者更快地編程和發現錯誤；另一方面，維護者被大量潛在嚴重的安全報告淹沒。流行開源數據傳輸程序cURL的創始人兼維護者Daniel Steinberg表示，2025年安全報告的湧入速度是2024年的四到五倍，他首次承認自己工作過度，接近精疲力竭，並呼籲更多公司提供資金支持。

如今，IBM及其子公司紅帽響應了這一呼籲。他們宣佈啓動Project Lightwell，一個被描述為“首個此類力量”的AI驅動計劃，旨在以前所未有的規模發現和修復開源軟件中的漏洞。該項目旨在成為確保企業IT所依賴的開源組件安全的實際中央樞紐。

值得注意的是，Lightwell並不會直接向上遊開發者支付費用。相反，它為IBM和紅帽的工程師提供AI工具，用於處理關鍵業務的開源項目，並儘可能確保其安全。由於Anthropic的Mythos Preview模型在短短幾周內已在開源軟件中識別出近3900個嚴重安全漏洞，對更快修復的迫切需求顯而易見。為此，兩家公司將在未來幾年投資50億美元，部署前沿AI模型、工具，並組建一個專門處理開源安全的全球工程團隊。此外，還將派出2萬名工程師，將開源風險視為一級供應鏈問題。

Project Lightwell的核心是一種新的運營模式，旨在彌合企業與構建他們依賴的軟件的上游社區之間的鴻溝。與推出另一個漏洞賞金計劃或代碼掃描服務不同，IBM和紅帽將Lightwell定位為一個可信的中間人。企業將向該計劃提供他們運行的開源軟件信息，然後Lightwell工程師使用AI尋找缺陷並提出修復方案，最後與上游維護者合作，將補丁合併併發布。

該項目將整合目前分散在內部安全團隊、第三方掃描器和社區維護者中的多個功能，包括大規模漏洞發現、分類與優先級排序、補丁開發、向後移植，以及企業實際部署的特定版本的長期生命週期支持。如果一切順利，這種方法將把零散的手動修復轉變為高吞吐量的修復管道。

IBM董事長兼首席執行官Arvind Krishna表示：“通過Project Lightwell，IBM和紅帽正在幫助定義一種新的行業模式，這種模式結合了AI、工程專業知識和可信協作，在源頭和整個供應鏈中保護開源軟件。”

Lightwell將首先從Maven/Java生態系統開始，即使在AI出現之前，該系統就已遭受大量濫用。隨後將擴展至PyPI、npm、Go等其他重要開源代碼庫。IBM最新的AI模型將驅動Lightwell，這些系統經過訓練，能夠掃描大量代碼庫、依賴關係圖和配置檔案，以尋找潛在漏洞，然後生成候選補丁，由人類工程師驗證後再推向上游或客户環境。

兩家公司強調，這種人在迴路的（human-in-the-loop）方法對於AI處理安全關鍵代碼至關重要。模型可以發現人類審查員永遠沒有時間覆蓋的模式和問題，但關於什麼是安全且可接受的修復的最終決定將由經驗豐富的工程師和項目維護者做出。在實踐中，Lightwell在社區眼中將是一個特別龐大且組織良好的貢獻者，而不是一個投遞未經請求的拉取請求的不透明自動化層。

對於紅帽來説，Project Lightwell擴展了他們幾十年來磨練的劇本，即獲取上游開源，加固並支持企業使用，然後將改進推回社區。不同之處在於範圍。紅帽的傳統模式主要集中在自己的產品平台，如RHEL、OpenShift和Ansible，而Lightwell將瞄準那些悄悄支撐着從銀行系統到AI管道的各種應用的龐大長尾庫、框架和工具。

兩家公司表示，Lightwell工程師將提交問題、提出補丁、並與現有項目領導者共同維護關鍵組件，而不是分叉或替代它們。當上遊維護者不同意一個修復方案或拒絕支持舊分支時，Lightwell仍將能夠為其客户攜帶加固的向後移植補丁。但IBM和紅帽堅持默認路徑是優先上游，該中間人充當企業生產需求與社區發佈節奏之間的橋樑。

同時，IBM和紅帽明確指出：“這些功能將通過商業訂閲提供，使企業能夠將經過驗證的補丁直接集成到其現有的軟件供應鏈中，並輔以企業級驗證和生命週期管理。”這些訂閲被定位為現有軟件供應鏈的疊加層，而不是一個新的發行版。Lightwell將插入企業已經使用的CI/CD、註冊表和SBOM流程，通過API、目錄和集成提供經過驗證的修復和策略決策。

IBM軟件高級副總裁Rob Thomas告訴路透社：“該服務將在未來30天內作為商業產品推出。”訂閲可能根據使用的軟件包數量定價，為客户提供“來自中間人的批准印章，證明他們的開源軟件可以安全地用於生產環境。”

然而，上游開源開發者及其企業如何適應這種新方法？這個擬議的可信企業中間人是否會成為大公司的事實上的守門人？如果所有補丁都歸入上游倉庫，客户到底在為什麼付費？這些都是很好的問題，但目前還沒有明確的答案。請繼續關注。