IBM выделяет 5 миллиардов долларов на устранение уязвимостей с открытым исходным кодом! Планирует привлечь 20 тысяч инженеров, 6 крупнейших финансовых гигантов уже подключились

IBM совместно с дочерней компанией с открытым исходным кодом Red Hat официально запускает проект «Project Lightwell», инвестируя 5 миллиардов долларов и привлекая 20 000 штатных инженеров для масштабного сканирования уязвимостей в открытом программном обеспечении с использованием передовых технологий ИИ. Банки США, JPMorgan Chase, Visa, Mastercard, Wells Fargo и Morgan Stanley уже подключились к платформе в качестве ранних партнеров, расширяя защиту от собственных систем Red Hat до таких областей, как AI-фреймворки, кодовые базы и распределённая инфраструктура, включая Apache Kafka. Подробности подготовлены изданиями 动区动趨.
(Предыстория: почти миллиард скачиваний в месяц AI-пакета LiteLLM, подвергшегося цепочке атак, полное проникновение в криптокошельки и SSH-ключи)
(Дополнительный фон: новая безопасность AI-компании Depthfirst побеждает Anthropic Mythos! Обнаружены уязвимости NGINX, существовавшие 18 лет)

Ключевые моменты

• IBM совместно с Red Hat запускает Project Lightwell, инвестируя 5 миллиардов долларов и привлекая 20 000 инженеров для выявления и устранения уязвимостей в открытом программном обеспечении с помощью технологий ИИ
• Банки США, JPMorgan Chase, Visa, Mastercard, Wells Fargo и Morgan Stanley уже подключились к платформе в качестве ранних партнеров
• Область защиты расширена с собственных систем Red Hat до AI-фреймворков, кодовых баз и таких технологий, как Apache Kafka, охватывая широкую экосистему открытого исходного кода

В этом году частота и разрушительная сила атак на цепочки поставок открытого программного обеспечения ускоряются. В марте, почти миллиард скачиваний в месяц AI-пакета LiteLLM был заражён вредоносным кодом, похищая приватные ключи криптокошельков и SSH-ключи; в мае даже компьютеры сотрудников OpenAI пострадали от цепочки атак npm TanStack. IBM выбрала этот момент для расширения своих возможностей безопасности Red Hat — от собственных систем до всей экосистемы открытого кода.

Масштаб проекта Lightwell немаленький: 5 миллиардов долларов инвестиций и 20 000 штатных инженеров. Все эти инженеры — сотрудники IBM, полностью сосредоточенные на выявлении и устранении уязвимостей, без привлечения внешних подрядчиков, без частичной занятости и без консультантов по совместительству.

Red Hat снова расширяет свои границы

Ранее инструменты безопасности и сканеры уязвимостей Red Hat в основном ограничивались собственными системами, такими как RHEL (Red Hat Enterprise Linux) и OpenShift.

Проект Lightwell ломает эти границы. Область защиты значительно расширена, охватывая AI-фреймворки (TensorFlow, PyTorch и др.), открытые кодовые базы и такие технологии, как Apache Kafka, являющиеся частью более широкой экосистемы. Kafka широко используется в мировой финансовой индустрии: JPMorgan Chase в своё время объявила о более чем 500 вакансиях, требующих опыт работы с Kafka — это ядро для обработки мгновенных транзакций, мониторинга рисков и регуляторных отчётов.

Когда ваша система мгновенных платежей работает на Kafka, а зависимость Kafka заражена вредоносным кодом, брандмауэр вам не поможет. Именно на этот уровень нацелена IBM.

Шесть крупнейших финансовых гигантов уже присоединились

Когда был объявлен проект Lightwell, к нему присоединились шесть ранних партнёров: Bank of America, JPMorgan Chase, Visa, Mastercard, Wells Fargo и Morgan Stanley.

Этот список охватывает основные компании американской финансовой индустрии: два крупнейших коммерческих банка, две ведущие платёжные системы, лидер в управлении богатством и крупный розничный банк. Все они глубоко зависят от инфраструктуры открытого кода — от Kafka до Kubernetes и различных AI-фреймворков, каждая из которых может стать точкой входа для цепочки атак.

В мае этого года IBM объявила о расширении своего портфолио продуктов безопасности AI и углублении сотрудничества с Anthropic под брендом Project Glasswing. Project Lightwell — следующий шаг в этой стратегии.

Для финансового сектора эта защита не кажется слишком ранней. За первые пять месяцев этого года цепочки поставок открытого кода уже нанесли крупные убытки многим технологическим компаниям и разработчикам.

Часто задаваемые вопросы

Являются ли 20 000 инженеров в Project Lightwell новыми наймами?

Нет. Все эти 20 000 штатных инженеров — сотрудники IBM, полностью сосредоточенные на выявлении и устранении уязвимостей в открытом программном обеспечении, без привлечения внешних специалистов.

Чем отличается Project Lightwell от существующих сервисов безопасности Red Hat?

Ранее инструменты безопасности Red Hat в основном ограничивались собственными системами (например, RHEL, OpenShift). Project Lightwell расширяет область защиты на AI-фреймворки, открытые кодовые базы и такие технологии, как Apache Kafka, охватывая более широкую экосистему открытого исходного кода.