Project Lightwell: IBM e Red Hat mettono 5 miliardi sulla sicurezza open source

Nelle scorse ore IBM e Red Hat hanno annunciato Project Lightwell, un impegno da 5 miliardi di dollari e oltre 20.000 ingegneri per mettere in sicurezza il software open source su cui poggia l'infrastruttura delle grandi aziende.

L'annuncio si presenta come una ridefinizione del settore, ma nella sostanza estende un modello che Red Hat applica da sempre: vendere supporto, validazione e patch a livello enterprise per codice che resta libero. Finora quel servizio copriva i componenti dentro i prodotti dei due gruppi, da RHEL a Kubernetes, Ansible e Terraform; ora si allarga a librerie indipendenti, toolchain, framework di IA e piattaforme di streaming dati che le aziende gestiscono per conto proprio.

Il collo di bottiglia delle patch

I modelli di IA di frontiera hanno reso la scoperta di vulnerabilità enormemente più rapida: Anthropic stima che il suo modello Mythos Preview abbia individuato circa 3.900 falle di gravità alta o critica nel solo software open source, nell'ambito di Project Glasswing. Trovare le falle, però, è ormai la parte facile, mentre il difficile è risolverle: come già abbiamo avuto modo di raccontare,  i manutentori dei progetti open source le ricevono più in fretta di quanto riescano a correggerle, al punto che diversi hanno chiesto di rallentare il ritmo delle segnalazioni perché travolti dal volume.

È in questo scenario che IBM colloca il progetto, dichiarando di aver incorporato gli insegnamenti di iniziative come Project Glasswing di Anthropic e Trusted Access for Cyber di OpenAI, ai quali applica i propri metodi di sicurezza agentici.

Un clearinghouse venduto in abbonamento

Il cuore dell'iniziativa è quello che IBM chiama clearinghouse: una struttura di intermediazione che funge da livello di coordinamento sulla sicurezza, dove l'IA viene usata per validare e testare le correzioni su un volume di codice molto ampio. Le aziende vi accedono tramite abbonamenti commerciali e integrano le patch già validate direttamente nelle proprie filiere software.

Tre le funzioni previste: segnalare e risolvere in un quadro protetto le vulnerabilità trovate nelle versioni effettivamente in uso; ricevere patch ottimizzate per gli ambienti di produzione, sia per i prodotti Red Hat sia per codice indipendente della comunità; e coordinare la divulgazione delle correzioni verso i progetti upstream, cioè a monte, così che possano entrare nella manutenzione di lungo periodo. A sostegno delle proprie credenziali, IBM dichiara di usare oltre 62.000 pacchetti open source, con competenza approfondita su più di 10.000.

Sul fronte del personale, i due gruppi prendono una direzione opposta a quella di buona parte del settore: mentre molti riducono l'organico tecnico appoggiandosi all'IA, qui i 20.000 ingegneri vengono presentati come asset strategico, affiancati dagli strumenti automatici anziché rimpiazzati. I primi clienti sono undici, e sono tutti istituti finanziari: Bank of America, BNY, Citi, Goldman Sachs, JPMorgan Chase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa e Wells Fargo.

La scoperta automatica di vulnerabilità ha già saturato la capacità di chi deve correggerle, e una struttura industriale dedicata al patching risponde a un bisogno concreto. Nel comunicato, però, la divulgazione verso i progetti upstream è l'ultima delle tre funzioni del clearinghouse, elencata dopo il modello in abbonamento, e IBM la descrive come coordinamento con i manutentori. Sono loro, che tengono in piedi librerie installate su miliardi di dispositivi, a vivere delle correzioni a monte.