IBM y Red Hat presentaron, el pasado 28 de mayo, una iniciativa denominada Project Lightwell, de un carácter similar al ya famoso Project Glasswing de Anthropic, y que contempla una inversión de 5.000 millones de dólares para tapar agujeros de seguridad en el código abierto.
La necesidad de ayudar a las iniciativas de código abierto radica en que algunas de las aplicaciones que estas han dado a luz, estructuran gran parte de la Internet y la informática actual, también la corporativa, por lo que la explotación de agujeros de seguridad en dichas aplicaciones, puede suponer una pérdida económica para muchas empresas que los utilizan. Y, además, son la base de los proyectos de Red Hat, y de muchos de los de IBM. Según los datos manejados por ambas firmas, más del 90% de las compañías incluidas en la lista Fortune 500 dependen, para su funcionamiento diario, de software de código abierto.
Debido a la naturaleza colaborativa de estos mismos proyectos, las organizaciones que los apoyan no suelen contar con muchos recursos económicos, por lo que se sustentan en donaciones y colaboraciones de grandes empresas, como el presente proyecto.
Paralelamente, los avances en inteligencia artificial están acelerando tanto el descubrimiento como la explotación de fallos de seguridad. Como referencia, Anthropic comunicó recientemente que su modelo Mythos Preview detectó cerca de 3.900 vulnerabilidades de severidad alta o crítica únicamente en programas de código abierto.
El proyecto Lightwell combina nuevas capacidades de inteligencia artificial de frontera con un contingente de más de 20.000 ingenieros, recursos con los que persigue ayudar a las empresas a proteger el software de código abierto a lo largo de toda su cadena de suministro, desde las fases de desarrollo en origen hasta los entornos de producción.
El cometido central de la iniciativa pasa por crear una cámara de compensación de ámbito empresarial que, junto al grupo de ingenieros, identifique y resuelva vulnerabilidades a gran escala, funcionando como una capa de coordinación de seguridad y recurriendo a la inteligencia artificial para validar y comprobar las correcciones sobre un amplio volumen de código.
Sus servicios serán ofrecidos mediante suscripciones comerciales, de modo que las organizaciones puedan incorporar parches verificados a sus propias cadenas de suministro de software, con validación y gestión del ciclo de vida en entornos corporativos.
A través de esta cámara, las organizaciones podrán comunicar y resolver incidencias de seguridad severas detectadas en las versiones de software que tienen en uso, dentro de un marco que actúa como intermediario. Así mismo, recibirán parches adaptados a los entornos de producción, tanto para las soluciones de Red Hat como para código procedente de comunidades independientes, y podrán trasladar dichas correcciones a las propias comunidades de desarrollo para que las integren en su mantenimiento a largo plazo.
El esquema permite, por lo tanto, recurrir a IBM y Red Hat para atajar problemas críticos al mismo tiempo que se refuerza el ecosistema mediante la divulgación responsable de las soluciones.
Antes del anuncio público de esta nueva iniciativa, IBM y Red Hat ya habían empezado a trabajar con un grupo de organizaciones que actúan como primeros usuarios, en su mayoría del ámbito financiero, como Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa y Wells Fargo. Las conclusiones obtenidas en estos despliegues iniciales servirán para perfilar cómo se identifican, validan y resuelven las vulnerabilidades a gran escala en cadenas de suministro de software complejas.