הירשמו
  1. ראשי
  2. גלובל
IBM
צילום: טוויטר

IBM ורד האט רוצות להפוך את אבטחת הקוד הפתוח לשירות בתשלום

פרויקט Lightwell, בהתחייבות של 5 מיליארד דולר, נועד לספק לארגונים תיקוני אבטחה מאומתים לקוד פתוח - על רקע התלות הגוברת של חברות גדולות ברכיבי תוכנה פתוחים והאצת איומי הסייבר בעידן ה-AI
אדיר בן עמי |
נושאים בכתבה IBM

IBM International Business Machines Corporation IBM 2.93%  ורד האט מנסות לשנות את כללי המשחק בתחום שמזין כמעט כל מערכת ארגונית, אבל גם הפך בשנים האחרונות לנקודת תורפה סדרתית: קוד פתוח. שתי החברות הודיעו על התחייבות של 5 מיליארד דולר להקמת פרויקט Lightwell, יוזמה שמכוונת לייצר שכבת תיאום אבטחה מרכזית לשרשרת האספקה של תוכנה מבוססת קוד פתוח, בהיקף שמתאים לעולם הארגוני.

קוד פתוח הוא כבר לא רכיב הנדסי שמגיע "בחינם", אלא תשתית קריטית שמחייבת מודל תחזוקה ואבטחה מוסדר, במיוחד בתקופה שבה כלי בינה מלאכותית מקצרים דרמטית את הזמן בין גילוי פרצה לבין ניצול שלה. ב-IBM מציינים שיותר מ-90% מחברות פורצ'ן 500 נשענות באופן משמעותי על רכיבי קוד פתוח - נתון שמחדד עד כמה חולשה בספרייה פופולרית יכולה להפוך לסיכון רוחבי לכל התעשייה.

ליבת Lightwell היא הקמה של מעין "מרכז סליקה" ארגוני לקוד פתוח: לפי התוכנית, תופעל רשת גלובלית של 20,000 מהנדסים, עם תמיכה של יכולות בינה מלאכותית, כדי לאתר, לבדוק ולתקן חולשות אבטחה בהיקפי קוד עצומים. היכולות יוצעו במנויים בתשלום, כך שארגונים יוכלו לדווח על באגים או חולשות, לקבל תיקון שעבר אימות ונבדק לסביבת ייצור, ולהטמיע אותו ישירות בשרשרת האספקה שלהם.


מקוד פתוח לשירות מנוהל

במונחי שוק, זה ניסיון להפוך בעיה כאוטית לשירות מסודר עם התחייבות לרמת שירות וזמני תגובה: במקום שכל ארגון ירדוף בעצמו אחרי עדכונים, תלויות וגרסאות, או יחכה שהקהילה תוציא תיקון בקצב שלה, IBM ורד האט מציעות מסלול שבו התיקון מגיע כשהוא כבר "ארגוני" - בדוק, חתום ומוכן להטמעה. המודל משתלב עם החוזקה של רד האט בעולם הלינוקס הארגוני והקונטיינרים, והיכולת של IBM למכור שירותי תשתית ואבטחה ללקוחות גדולים.


בשלב הראשון השתיים כבר עובדות עם קבוצת מאמצים מוקדמים: בנק אוף אמריקה, סיטי, גולדמן זאקס, מורגן סטנלי, ויזה ו-וולס פארגו. הבחירה במוסדות פיננסיים לא מקרית. אלו ארגונים עם רגולציה כבדה, חשיפה גבוהה לסיכוני סייבר, ומערכות שמבוססות לעיתים על שכבות רבות של רכיבי צד שלישי וקוד פתוח. עבורם, חולשה בספריית קוד היא לא רק עניין הנדסי אלא גם סיכון תפעולי ומשפטי.

ההימור של IBM הוא על צומת שבו שלושה תהליכים נפגשים: המעבר לפיתוח מהיר מבוסס רכיבים פתוחים, תלות גוברת בשרשראות אספקה דיגיטליות, והאצה שמביאה הבינה המלאכותית גם לתוקפים. אם מודל כמו Lightwell יתקבל, הוא עשוי לייצר קטגוריה חדשה של שירותים: לא עוד "סריקת חולשות" בלבד, אלא טיפול מקצה לקצה שמסתיים בתיקון שניתן להכניס לפרודקשן בלי להחזיק צוות פנימי גדול לכל ספרייה.

האתגר הגדול יהיה אמון ותפעול בקנה מידה. קוד פתוח הוא אקוסיסטם עם תרבות עצמאית ולעיתים חשדנית כלפי שכבות מסחריות, ובמקביל ארגונים מצפים לאחריות ברורה כאשר משהו נשבר. Lightwell יצטרך להוכיח שני דברים במקביל: יכולת לספק תיקונים מהר יותר מהשוק, ויכולת לייצר וולידציה שמספקת שקט תפעולי אמיתי - לא רק המלצות.