IBM和Red Hat推出Lightwell守护开源安全

关键信息

Lightwell被描述为一种“清算中心”模式：企业提供其使用的开源组件信息，然后IBM和Red Hat工程师利用AI查找漏洞、提出修复方案，并与上游维护者合作合并补丁。文章还提到，这项服务不会直接向上游开发者付费，而且这种订阅式模式的一些运营细节仍不清楚。

资讯摘要

ZDNET报道，IBM和Red Hat正在推出Project Lightwell，这是一个旨在以工业规模修复开源安全问题的AI驱动计划。该计划被描述为对维护者压力不断上升的回应，因为他们正被海量安全报告淹没，难以跟上处理速度。文章引用了cURL维护者Daniel Steinberg的话，他表示现在收到的安全报告数量比2024年高出4到5倍，他自己也已经接近倦怠。IBM和Red Hat的回应并不是传统的漏洞赏金项目或扫描工具，而是一种新的运营模式，充当企业与上游社区之间可信的中介。

企业会提供他们所依赖的开源软件信息，而Lightwell工程师将利用AI查找漏洞、对结果进行优先级排序，并提出修复方案。随后，这些工程师会与上游维护者合作，让补丁被合并并发布，同时该服务还计划支持回移植和长期生命周期维护，以覆盖企业实际部署的版本。两家公司表示，他们将在未来几年投资50亿美元，并投入2万名工程师，把开源风险当作供应链层面的关键问题，而不是次要维护任务。IBM首席执行官Arvind Krishna表示，该项目旨在定义一种新的行业模式，把AI、工程专业能力和可信协作结合起来，从源头到整个供应链来保护开源软件。

资讯正文

关注 ZDNET：在 Google 上将我们添加为首选来源。ZDNET 的要点

Lightwell 是一项旨在保护开源软件的庞大计划。IBM 和 Red Hat 正在这项大规模安全倡议上投入资金。我们目前还不知道这项基于订阅的服务将如何运作。

人工智能对开源软件来说是一把双刃剑。一方面，AI 可以帮助开发者更快地编程，并更迅速地发现漏洞。另一方面，维护者正被潜在严重漏洞报告的海量数量压得喘不过气来。

正如流行的开源数据传输程序 cURL 的创始人兼维护者 Daniel Steinberg 最近所说：“安全报告的流入速度是 2024 年的四到五倍，也是 2025 年速度的两倍。”他首次坦言：“我比以往任何时候都工作得更多，但洪流仍在继续。”Steinberg 已经濒临倦怠。因此，他呼吁更多公司“资助我们”，这样他们就能雇用更多开发者来分担工作量。

如今，IBM 及其子公司 Red Hat 已经听到了这一呼声。另见：欧洲替代 Microsoft Office 和 Google Docs 的开源方案将于 6 月 9 日上线。他们的回应是 Project Lightwell，这是一个由 AI 驱动的项目，他们将其描述为一支“首创的力量”，旨在以工业级规模发现并修复开源软件中的漏洞。Lightwell 的目标是成为一个事实上的清算中心，负责保护支撑现代企业 IT 的开源组件。

不过，这项计划不会直接向上游开发者付款。相反，Lightwell 会为 IBM 和 Red Hat 的工程师提供 AI 工具，让他们能够参与重要的、与业务关键相关的开源项目，并尽可能把这些项目做得更安全。由于 Anthropic 的 Mythos Preview 模型仅在短短几周内就已经识别出近 3,900 个开源软件中的严重安全漏洞，因此，加快修复的迫切需求已不言而喻。为迈出这一步，这两家公司将在未来几年投资 50 亿美元，推出前沿规模的 AI 模型、工具链，以及一个致力于开源安全的全球工程组织。

这一举措并不只是一次 AI 方面的押注。这两家公司还将调配 20,000 名工程师，把开源风险视为一级供应链问题，而不是背景中的维护琐事。另见：Greg Kroah-Hartman 表示，Rust 将拯救 Linux 免受 AI 影响。

毕竟，正如 ZDNET 的 David Gerwitz 最近指出的那样，“传统应用安全已经不够了。”甚至远远不够。

加强开源代码安全

Project Lightwell 的核心，是一种新的运营模式，它弥合了企业与构建其所依赖软件的上游社区之间的鸿沟。IBM 和 Red Hat 并没有再推出另一个漏洞赏金计划或代码扫描服务，而是将 Lightwell 定位为一个值得信赖的中介。也就是说，企业将向该项目提供他们所运行的开源软件相关信息。随后，Lightwell 的工程师会借助 AI 寻找缺陷并提出修复方案。之后，他们的工程师还会与上游维护者合作，推动补丁合并并发布。

该公司表示，这个清算中心将把如今分散在内部安全团队、第三方扫描器和社区维护者之间的多项功能整合起来。这些功能包括大规模漏洞发现、分诊和优先级排序、补丁开发、回移植，以及针对企业实际部署的特定版本提供长期生命周期支持。如果一切顺利，这种做法将把零散的人工修复转变为高吞吐量的修复流水线，同时仍然尊重项目治理和开放式开发规范。正如 IBM 董事长兼首席执行官 Arvind Krishna 在一份声明中所说：“通过 Project Lightwell，IBM 和 Red Hat 正在帮助定义一种新的行业模式，它将 AI、工程专业能力和可信协作结合起来，从源头以及整个供应链上保障开源软件安全。”

Lightwell 将从 Maven/Java 生态系统起步，该生态在 AI 出现之前就已经遭受了大规模滥用。随后，该项目还将扩展到 PyPI、npm、Go 以及其他重要的开源代码库。

IBM 最新的 AI 模型将为 Lightwell 提供动力。这些系统将接受训练，以扫描海量代码库、依赖图和配置档案，寻找潜在漏洞，然后生成候选补丁，由人工工程师在任何内容进入上游或客户环境之前进行验证。

该公司表示，AI 要想被信任用于安全关键代码，这种“人类在环”的方法至关重要。IBM 说，模型可以发现人类审查员根本无暇覆盖的模式和问题。不过，关于什么构成安全且可接受的修复，最终决定权仍将保留给有经验的工程师和项目维护者。在实践中，Lightwell 的目标是让社区把它视为一个规模特别大、组织特别完善的贡献者，而不是一个投放未经请求的拉取请求的黑箱自动化层。

对 Red Hat 来说，Project Lightwell 延续了一套已打磨数十年的打法。该计划将获取上游开源软件，对其进行加固并为企业提供支持，然后把改进再回馈给社区。不同之处在于规模。Red Hat 传统模式主要围绕其自身产品平台展开，包括 Red Hat Enterprise Linux（RHEL）、OpenShift 和 Ansible，而 Lightwell 将瞄准那些庞大而长尾的库、框架和工具——它们悄然支撑着从银行系统到 AI 流水线的一切。

公司表示，Lightwell 工程师将提交问题、提出补丁，并与现有项目负责人共同维护关键组件，而不是分叉或取代它们。当上游维护者不同意某个修复，或者拒绝支持较旧分支时，Lightwell 仍然能够为其客户提供经过加固的回移植版本。

但 IBM 和 Red Hat 坚称，默认路径是先向上游推进，而这个清算中心将充当企业生产需求与社区发布节奏之间的桥梁。

供应链风险被视为一种机遇。与此同时，IBM 和 Red Hat 明确表示：“这些能力将通过商业订阅提供，使企业能够将安全补丁直接集成到其现有的软件供应链中，并获得企业级验证和生命周期管理。” 这些订阅被定位为对现有软件供应链的叠加层，而不是一种新的发行版：Lightwell 会接入企业已经在使用的持续集成和持续部署（CI/CD）、代码仓库以及软件物料清单（SBOM）流程，通过 API、目录和集成提供经过审查的修复和策略决定。

还有：为什么商业架构师有望引领企业 AI 革命。IBM 软件高级副总裁 Rob Thomas 告诉路透社：“这项服务将在未来 30 天内作为商业产品推出。” 这项订阅的定价很可能会根据所使用的软件包数量来确定，它将为客户提供一张“清算中心出具的安全使用其开源软件于生产环境中的批准书”。

这项服务当然不错，这两家强势公司也确实会投入大量资金，并且理应赚取利润，但上游开源开发者及其业务将如何融入这种新方法？这个拟议中的、值得信任的企业清算中心会不会成为大公司事实上的把关者？如果补丁都被放回上游仓库，那么客户究竟在为什么付费？这些都是好问题，而目前还没有好答案。敬请关注。

来源与参考

1. 原始链接
2. Open-source security is a mess - IBM and Red Hat bet $5 billion and 20,000 engineers can fix it