- IBM (International Business Machines Corporation) hat angekündigt, 5 Milliarden US-Dollar in das Lightwell-Projekt zu investieren, um ein Zentrum für den Austausch von Sicherheitsinformationen für Open-Source-Software zu schaffen, indem Ingenieure entsandt und KI-Tools eingesetzt werden. Dieser Dienst wird innerhalb der nächsten 30 Tage als kommerzielles Abonnementprodukt eingeführt.
- Das Projekt wird in Zusammenarbeit mit mehreren Finanzriesen wie der Bank of America, JPMorgan Chase und Visa getestet, um branchenspezifische Herausforderungen zu adressieren, die durch die Verbreitung von KI-Technologien entstehen, wie die Senkung der Schwelle für Malware-Angriffe und das steigende Risiko in der Open-Source-Technologie-Lieferkette.
- Der neue Dienst erweitert die Sicherheitsmechanismen der bestehenden Red Hat-Plattform auf ein breiteres Ökosystem unabhängiger Open-Source-Komponenten und bietet Unternehmenskunden Compliance- und Sicherheitszertifizierungen für die Nutzung von Open-Source-Paketen in Produktionsumgebungen.
Investition von fünf Milliarden in den Aufbau eines Sicherheitsinformationsaustauschzentrums
Das Lightwell-Projekt von IBM zielt darauf ab, ein zentrales Open-Source-Sicherheitsinformationsaustauschzentrum zu schaffen. Dieses Zentrum wird es Unternehmen ermöglichen, Sicherheitslücken in ihren Systemen vertraulich zu melden und streng getestete Lösungen zu erhalten. Da Open-Source-Software die technologische Grundlage der meisten globalen Unternehmen bildet, bringt ihre Offenheit sowohl Vorteile als auch Schwachstellen in der Lieferkette mit sich. IBM plant, durch den Einsatz von Fachingenieuren und fortschrittlichen KI-Algorithmen ein standardisiertes Modell für das Risikomanagement in der Softwarelieferkette zu entwickeln, das den gesamten Lebenszyklus von der frühen Entwicklung bis zur Produktion abdeckt.
Zusammenarbeit mit Finanzriesen zur Vertiefung komplexer Systemtests
Um die Wirksamkeit dieses Modells in hochkomplexen und streng regulierten Unternehmenssoftwareumgebungen zu überprüfen, hat IBM zusammen mit seiner Red Hat-Abteilung eine intensive Pilotkooperation mit globalen Finanzinstituten wie der Bank of America, JPMorgan Chase und Visa gestartet. Während der Tests nutzen diese Finanzinstitute die automatisierten Tools des Lightwell-Systems, um potenzielle Schwachstellen in der Softwarelieferkette zu identifizieren und zu beheben. Da die Finanzbranche hohe Anforderungen an Datensicherheit und Systemstabilität stellt, könnte ein erfolgreicher Testlauf in diesen großen Banken als reproduzierbares Sicherheitsmodell für andere stark regulierte Branchen dienen.
Kommerzialisierung als Abonnementdienst innerhalb von 30 Tagen
Rob Thomas, Senior Vice President der IBM Software Business, erklärte, dass dieser Sicherheitsdienst voraussichtlich innerhalb der nächsten 30 Tage als kommerzielles Produkt weltweit eingeführt wird. Das Dienstleistungsmodell wird ein gängiges Abonnementmodell sein, dessen Preis möglicherweise gestaffelt wird, basierend auf der Anzahl der von den Unternehmenskunden genutzten Open-Source-Softwarepakete. Durch diesen Abonnementdienst erhalten Unternehmenskunden Sicherheitszertifizierungen vom Informationsaustauschzentrum, die bestätigen, dass die von ihnen verwendete Open-Source-Software und die zugehörigen Bibliotheken in Produktionsumgebungen sicher und zuverlässig sind. Sollte dieses Modell breite Akzeptanz finden, könnte es einen neuen Standard für die Drittanbieter-Compliance-Prüfung im Open-Source-Ökosystem schaffen.
Bewältigung der Sicherheitsrisiken in der Open-Source-Lieferkette im KI-Zeitalter
Vor dem Hintergrund des KI-Booms können böswillige Angreifer automatisierte KI-Tools nutzen, um leichter Schwachstellen in Open-Source-Software zu finden und auszunutzen, was den Druck auf die Sicherheit der globalen Lieferketten erhöht. Die Einführung des Lightwell-Projekts markiert die Erweiterung des zuvor auf die Red Hat-Plattform beschränkten Sicherheitsmodells auf ein breiteres Ökosystem unabhängiger Open-Source-Komponenten, einschließlich grundlegender Softwarebibliotheken und KI-Frameworks. Sollte die Open-Source-Community in Zukunft engere Patch-Sharing-Mechanismen mit solchen kommerziellen Sicherheitszentren entwickeln, könnten Unternehmen geprüfte Sicherheitspatches nahtlos in ihre bestehenden Systeme integrieren und so die durch die Bewaffnung von KI entstehenden Sicherheitslücken teilweise schließen.
