IBM与红帽携手推出50亿美元Lightwell项目，强化开源软件安全

IBM公司及其子公司红帽今日联合发布了一项名为"Project Lightwell"的计划，旨在提升开源项目的整体安全性。

Project Lightwell背后有高达50亿美元的资金支持，IBM与红帽还将为此调配逾2万名工程师参与其中。

红帽于2019年被IBM收购，目前主要销售一款广受欢迎的Linux发行版RHEL。该发行版代码对外公开，但企业在软件项目中使用时需购买授权许可。此外，红帽还开发了多款用于自动化任务的开源工具，例如云基础设施的配置管理。

红帽长期以来通过内部工程师团队持续查找并修复软件漏洞。Project Lightwell将在此基础上进一步扩展，将工作范围从红帽自有产品延伸至更广泛的开源生态系统。据IBM介绍，该项目的核心目标是帮助企业修复其软件所依赖的开源工具中存在的安全漏洞，并将以订阅方式向用户提供Project Lightwell的相关服务。

在实际开发中，当开发者将某个开源组件集成进应用程序时，往往并不会使用该组件的最新版本。即便使用了最新版本，也面临因后续更新停滞而逐渐过时的风险。一旦该组件被发现存在安全漏洞，便会带来较大的安全隐患。

更棘手的是，针对开源工具旧版本的安全补丁往往无法及时获取。某些情况下，安装补丁还需要将受影响的工具升级至最新版本，这可能意味着对使用该组件的应用程序进行大规模代码改动。

为此，IBM与红帽将安排参与Project Lightwell的工程师借助AI技术主动排查开源项目中的漏洞，继而开发相应补丁，并将其向前移植（backport）至客户实际使用的特定版本。IBM表示，这些向前移植的补丁将使企业无需将开源组件升级至最新版本，即可完成安全修复。

Project Lightwell还涵盖其他若干配套举措。IBM与红帽计划将工程师发现的漏洞信息披露给受影响开源项目的维护者，并构建一套"可信中间方框架"，以促进各方之间的信息共享与协作。

IBM首席执行官阿尔文·克里希纳表示："通过Project Lightwell，IBM与红帽正在共同定义一种全新的行业模式——将AI能力、工程专业知识与可信协作机制有机融合，从源头及整个供应链层面全面保障开源软件的安全。"

Project Lightwell的推出，预计将对Chainguard Inc.和Socket Inc.等专注于软件供应链安全领域的初创企业形成更大的竞争压力。其中，Chainguard去年完成了2.8亿美元的融资，主要提供经过安全加固的开源项目版本；Socket则专注于为开发者提供工具，简化开源补丁的安装流程并协助处理相关任务。

Q&A

Q1：Project Lightwell是什么？IBM为什么要推出这个项目？

A：Project Lightwell是IBM与红帽联合发布的开源软件安全计划，背后有50亿美元资金和逾2万名工程师的支持。推出该项目的原因在于，许多企业在使用开源组件时面临版本滞后、补丁缺失等安全风险，IBM希望通过AI技术主动发现漏洞、开发补丁并向前移植到旧版本，帮助企业在无需大规模升级的情况下完成安全修复。

Q2：Project Lightwell如何帮助企业解决开源组件的安全漏洞问题？

A：Project Lightwell的核心做法是让IBM与红帽的工程师利用AI主动扫描开源项目漏洞，并将修复补丁向前移植到企业实际使用的旧版本上。这样一来，企业无需将相关组件全面升级至最新版本，也能完成安全修复，大幅降低了代码改动成本和安全风险。该服务将以订阅制方式提供。

Q3：Project Lightwell会对现有开源安全初创企业产生哪些影响？

A：Project Lightwell的推出将对Chainguard和Socket等软件供应链安全初创企业构成更直接的竞争。Chainguard主要提供经加固的开源项目版本，去年融资2.8亿美元；Socket则帮助开发者简化开源补丁安装流程。IBM凭借其规模优势和资金投入，可能在这一细分市场形成较强的竞争压力。