開源安全一團糟 - IBM和紅帽押注50億美元和2萬名工程師能修復它

開源軟體的安全性正面臨嚴峻挑戰。一方面，AI可以幫助開發者更快地程式設計和發現錯誤；另一方面，維護者被大量潛在嚴重的安全報告淹沒。流行開源資料傳輸程式cURL的創始人兼維護者Daniel Steinberg表示，2025年安全報告的湧入速度是2024年的四到五倍，他首次承認自己工作過度，接近精疲力竭，並呼籲更多公司提供資金支援。

如今，IBM及其子公司紅帽響應了這一呼籲。他們宣佈啟動Project Lightwell，一個被描述為“首個此類力量”的AI驅動計劃，旨在以前所未有的規模發現和修復開源軟體中的漏洞。該專案旨在成為確保企業IT所依賴的開源元件安全的實際中央樞紐。

值得注意的是，Lightwell並不會直接向上遊開發者支付費用。相反，它為IBM和紅帽的工程師提供AI工具，用於處理關鍵業務的開源專案，並儘可能確保其安全。由於Anthropic的Mythos Preview模型在短短幾周內已在開源軟體中識別出近3900個嚴重安全漏洞，對更快修復的迫切需求顯而易見。為此，兩家公司將在未來幾年投資50億美元，部署前沿AI模型、工具，並組建一個專門處理開源安全的全球工程團隊。此外，還將派出2萬名工程師，將開源風險視為一級供應鏈問題。

Project Lightwell的核心是一種新的運營模式，旨在彌合企業與構建他們依賴的軟體的上游社群之間的鴻溝。與推出另一個漏洞賞金計劃或程式碼掃描服務不同，IBM和紅帽將Lightwell定位為一個可信的中間人。企業將向該計劃提供他們執行的開源軟體資訊，然後Lightwell工程師使用AI尋找缺陷並提出修復方案，最後與上游維護者合作，將補丁合併併發布。

該專案將整合目前分散在內部安全團隊、第三方掃描器和社群維護者中的多個功能，包括大規模漏洞發現、分類與優先順序排序、補丁開發、向後移植，以及企業實際部署的特定版本的長期生命週期支援。如果一切順利，這種方法將把零散的手動修復轉變為高吞吐量的修復管道。

IBM董事長兼執行長Arvind Krishna表示：“透過Project Lightwell，IBM和紅帽正在幫助定義一種新的行業模式，這種模式結合了AI、工程專業知識和可信協作，在源頭和整個供應鏈中保護開源軟體。”

Lightwell將首先從Maven/Java生態系統開始，即使在AI出現之前，該系統就已遭受大量濫用。隨後將擴充套件至PyPI、npm、Go等其他重要開原始碼庫。IBM最新的AI模型將驅動Lightwell，這些系統經過訓練，能夠掃描大量程式碼庫、依賴關係圖和配置檔案，以尋找潛在漏洞，然後生成候選補丁，由人類工程師驗證後再推向上游或客戶環境。

兩家公司強調，這種人在迴路的（human-in-the-loop）方法對於AI處理安全關鍵程式碼至關重要。模型可以發現人類審查員永遠沒有時間覆蓋的模式和問題，但關於什麼是安全且可接受的修復的最終決定將由經驗豐富的工程師和專案維護者做出。在實踐中，Lightwell在社群眼中將是一個特別龐大且組織良好的貢獻者，而不是一個投遞未經請求的拉取請求的不透明自動化層。

對於紅帽來說，Project Lightwell擴充套件了他們幾十年來磨練的劇本，即獲取上游開源，加固並支援企業使用，然後將改進推回社群。不同之處在於範圍。紅帽的傳統模式主要集中在自己的產品平臺，如RHEL、OpenShift和Ansible，而Lightwell將瞄準那些悄悄支撐著從銀行系統到AI管道的各種應用的龐大長尾庫、框架和工具。

兩家公司表示，Lightwell工程師將提交問題、提出補丁、並與現有專案領導者共同維護關鍵元件，而不是分叉或替代它們。當上遊維護者不同意一個修復方案或拒絕支援舊分支時，Lightwell仍將能夠為其客戶攜帶加固的向後移植補丁。但IBM和紅帽堅持預設路徑是優先上游，該中間人充當企業生產需求與社群釋出節奏之間的橋樑。

同時，IBM和紅帽明確指出：“這些功能將透過商業訂閱提供，使企業能夠將經過驗證的補丁直接整合到其現有的軟體供應鏈中，並輔以企業級驗證和生命週期管理。”這些訂閱被定位為現有軟體供應鏈的疊加層，而不是一個新的發行版。Lightwell將插入企業已經使用的CI/CD、登錄檔和SBOM流程，透過API、目錄和整合提供經過驗證的修復和策略決策。

IBM軟體高階副總裁Rob Thomas告訴路透社：“該服務將在未來30天內作為商業產品推出。”訂閱可能根據使用的軟體包數量定價，為客戶提供“來自中間人的批准印章，證明他們的開源軟體可以安全地用於生產環境。”

然而，上游開源開發者及其企業如何適應這種新方法？這個擬議的可信企業中間人是否會成為大公司的事實上的守門人？如果所有補丁都歸入上游倉庫，客戶到底在為什麼付費？這些都是很好的問題，但目前還沒有明確的答案。請繼續關注。