IBM et Red Hat vont investir 5 milliards de dollars autour du « Project Lightwell », une initiative destinée à renforcer la sécurité de la chaîne d’approvisionnement logicielle open source. L’objectif est d’aider les entreprises à identifier, valider, tester et corriger les vulnérabilités affectant les composants open source qu’elles utilisent en production.
Présenté comme une plateforme de confiance, Lightwell doit s’appuyer sur l’IA et sur les équipes d’ingénierie d’IBM et Red Hat, soit plus de 20.000 ingénieurs dans le monde. Le projet vise à étendre au-delà des offres Red Hat, comme Red Hat Enterprise Linux ou OpenShift, les pratiques de validation, de maintenance et de correction déjà mises en œuvre par l’éditeur. Son périmètre doit couvrir des bibliothèques indépendantes, des outils de développement, des frameworks d’IA ou encore des plateformes de données comme Apache Kafka.
Les capacités de Lightwell seront proposées dans les prochaines semaines sous forme d’abonnements. Les entreprises clientes pourront signaler des vulnérabilités dans un cadre sécurisé, recevoir des correctifs validés pour leurs environnements et les intégrer dans leurs propres chaînes logicielles. IBM et Red Hat prévoient aussi de reverser les correctifs aux communautés open source afin qu’ils soient intégrés dans les cycles de maintenance de long terme.
L’initiative intervient alors que l’open source est devenu un socle critique des systèmes d’information. IBM rappelle que plus de 90% des entreprises du Fortune 500 utilisent des logiciels open source. Le groupe souligne également que l’IA accélère la découverte de failles, le modèle Mythos d’Anthropic ayant identifié à lui seul près de 3.900 vulnérabilités de gravité élevée ou critique dans des logiciels open source.
IBM et Red Hat ont déjà engagé des travaux avec un premier cercle de grandes entreprises financières, notamment Bank of America, JPMorgan Chase et Visa. Les enseignements tirés de ces déploiements pilotes doivent contribuer à préciser la manière dont les vulnérabilités seront identifiées, validées et corrigées à grande échelle dans des chaînes logicielles complexes.
Pour Arvind Krishna, CEO d’IBM, l’enjeu dépasse la seule correction de failles car l’open source est devenu « la colonne vertébrale de l’économie numérique actuelle et le fondement de l’IA moderne ». Avec Lightwell, il s’agit selon lui de poser les bases d’un nouveau modèle « qui associe l’IA, l’expertise technique et une collaboration de confiance, afin de sécuriser les logiciels open source à leur source et tout au long de la chaîne d’approvisionnement. »