La seguridad del código abierto es un desastre: IBM y Red Hat apuestan 5.000 millones de dólares y 20.000 ingenieros pueden solucionarlo

Noticias de IA

Publicado el:

spot_img
- Advertisment -spot_img

Siga ZDNET: Agréganos como fuente preferida en Google.

Conclusiones clave de ZDNET

  • Lightwell es un gran esfuerzo para salvaguardar el software de código abierto.
  • IBM y Red Hat están invirtiendo en esta enorme iniciativa de seguridad.
  • Aún no sabemos cómo funcionará este servicio basado en suscripción.

La IA es una bendición a medias para el software de código abierto. Por un lado, la IA puede ayudar a los desarrolladores a programar más rápido y a encontrar errores más rápidamente. Por otro lado, los encargados del mantenimiento se ven abrumados por el gran volumen de informes de errores potencialmente graves.

- Advertisement -[wpcode id="699"]

Como dijo recientemente Daniel Steinberg, fundador y mantenedor del popular programa de transferencia de datos de código abierto cURL: «La tasa de informes de seguridad entrantes es de cuatro a cinco veces mayor que en 2024 y el doble de la velocidad de 2025». Por primera vez, confesó, «trabajo más que antes, pero la inundación sigue llegando». Steinberg está al borde del agotamiento. Por lo tanto, pidió que más empresas «nos financiaran» para que luego pudieran pagar a más desarrolladores para distribuir la carga de trabajo». Ahora, IBM y su filial Red Hat han escuchado el llamado.

Su respuesta es el Proyecto Lightwell, una iniciativa impulsada por IA que describieron como una «fuerza pionera en su tipo» para encontrar y corregir vulnerabilidades en software de código abierto a escala industrial. Lightwell pretende convertirse en un centro de intercambio de información de facto para proteger los componentes de código abierto que sustentan la TI empresarial moderna.

Sin embargo, la iniciativa no pagará a los desarrolladores upstream. En cambio, Lightwell proporciona a los ingenieros de IBM y Red Hat herramientas de inteligencia artificial para trabajar en proyectos de código abierto importantes y críticos para el negocio y hacerlos lo más seguros posible. Dado que el modelo Mythos Preview de Anthropic ya ha identificado casi 3.900 vulnerabilidades de seguridad graves en software de código abierto en tan solo unas pocas semanas, la necesidad urgente de soluciones más rápidas es muy clara.

Leer  Peak XV recauda 1.300 millones de dólares y duplica su inversión en IA a medida que se intensifica la rivalidad global de capital de riesgo en India

Para dar este paso, las dos empresas invertirán 5 mil millones de dólares en los próximos años para implementar modelos de IA a escala de frontera, herramientas y una organización de ingeniería global dedicada a la seguridad de código abierto. Este movimiento no es sólo una jugada de la IA. Las empresas también dedicarán 20.000 ingenieros a tratar el riesgo del código abierto como un problema de primer orden en la cadena de suministro, no como una tarea de mantenimiento en segundo plano.

- Advertisement -[wpcode id="699"]

Después de todo, como señaló recientemente el propio David Gerwitz de ZDNET, «la seguridad de las aplicaciones tradicionales ya no es suficiente». Ni siquiera está cerca de ser suficiente.

Impulsar la seguridad del código fuente abierto

En el corazón del Proyecto Lightwell hay un nuevo modelo operativo que cierra la brecha entre las empresas y las comunidades upstream que crean el software del que dependen. En lugar de lanzar otro programa de recompensas por errores o otro servicio de escaneo de códigos, IBM y Red Hat están presentando a Lightwell como un intermediario confiable. Es decir, las empresas proporcionarán a la iniciativa información sobre el software de código abierto que ejecutan. Luego, los ingenieros de Lightwell utilizarán la IA para buscar fallas y proponer soluciones. Después de eso, sus ingenieros trabajarán con los encargados de mantenimiento para fusionar y enviar los parches.

Las empresas dijeron que esta cámara de compensación combinará varias funciones que hoy están fragmentadas entre equipos de seguridad internos, escáneres de terceros y mantenedores de la comunidad. Esas funciones incluyen descubrimiento de vulnerabilidades a gran escala, clasificación y priorización, desarrollo de parches, backporting y soporte de ciclo de vida a largo plazo para las versiones específicas que las empresas realmente implementan. Si todo va bien, este enfoque transformará el goteo de soluciones manuales en un proceso de remediación de alto rendimiento que aún respeta la gobernanza del proyecto y las normas de desarrollo abierto.

Leer  La AI de confianza construye 'visión de rayos X' para los datos de la compañía: reduce el tiempo de cumplimiento de la IA en un 80% al resolver la crisis de confianza

Como dijo Arvind Krishna, presidente y director ejecutivo de IBM, en un comunicado: «Con Project Lightwell, IBM y Red Hat están ayudando a definir un nuevo modelo industrial, uno que reúne inteligencia artificial, experiencia en ingeniería y colaboración confiable, para proteger el software de código abierto en su origen y en toda la cadena de suministro».

Lightwell comenzará con el ecosistema Maven/Java, que fue testigo de un enorme abuso incluso antes de que la IA apareciera en escena. Luego, el proyecto se ampliará a PyPI, npm, Go y otras importantes bases de código de código abierto.

Los últimos modelos de IA de IBM impulsarán Lightwell. Estos sistemas estarán capacitados para escanear bases de código masivas, gráficos de dependencia y archivos de configuración en busca de posibles vulnerabilidades, y luego generarán parches candidatos que los ingenieros humanos validarán antes de que algo vaya hacia arriba o hacia los entornos de los clientes.

Las empresas argumentaron que este enfoque de participación humana es esencial si se quiere confiar a la IA el código crítico para la seguridad. Los modelos pueden revelar patrones y problemas que los revisores humanos nunca tendrían tiempo de cubrir, dijo IBM. Sin embargo, las decisiones finales sobre lo que constituye una solución segura y aceptable quedarán en manos de ingenieros experimentados y mantenedores de proyectos. En la práctica, Lightwell debe aparecer ante las comunidades como un colaborador particularmente grande y bien organizado, no como una capa de automatización opaca que elimina solicitudes de extracción no solicitadas.

- Advertisement -[wpcode id="699"]

Trabajar con, no alrededor, aguas arriba

Para Red Hat, el Proyecto Lightwell amplía un manual perfeccionado durante décadas. La iniciativa tomará el código abierto, lo reforzará y lo respaldará para las empresas, e impulsará las mejoras a la comunidad. La diferencia es el alcance. Si bien el modelo tradicional de Red Hat se ha centrado en plataformas como sus propios productos, incluidos Red Hat Enterprise Linux (RHEL), OpenShift y Ansible, Lightwell se centrará en la larga cola de bibliotecas, marcos y herramientas que silenciosamente sustentan todo, desde sistemas bancarios hasta canales de IA.

Leer  Me reuní con alegría con mi primera distro Linux en el Virtual OS Museum

Las compañías dijeron que los ingenieros de Lightwell presentarán problemas, propondrán parches y mantendrán conjuntamente los componentes críticos junto con los líderes de proyectos existentes en lugar de bifurcarlos o reemplazarlos. Cuando los mantenedores ascendentes no estén de acuerdo con una solución o se nieguen a admitir una rama anterior, Lightwell aún podrá ofrecer backports reforzados para sus clientes. Pero IBM y Red Hat insistieron en que el camino predeterminado es primero hacia arriba, con la cámara de compensación actuando como un puente entre las demandas de producción empresarial y las cadencias de lanzamiento de la comunidad.

El riesgo de la cadena de suministro como oportunidad

Al mismo tiempo, IBM y Red Hat dijeron explícitamente: «Estas capacidades se ofrecerán a través de suscripciones comerciales, lo que permitirá a las empresas integrar parches seguros directamente en sus cadenas de suministro de software existentes con validación de nivel empresarial y gestión del ciclo de vida».

Estas suscripciones se posicionan como una superposición de las cadenas de suministro de software existentes, no como una nueva distribución: Lightwell se conecta a la integración continua y la implementación continua (CI/CD), a los registros y a los procesos de lista de materiales de software (SBOM) que las empresas ya utilizan, ofreciendo correcciones examinadas y decisiones políticas a través de API, catálogos e integraciones.

El vicepresidente senior de software de IBM, Rob Thomas, dijo a Reuters: «El servicio se lanzará como oferta comercial en los próximos 30 días». Esta suscripción, cuyo precio probablemente tendrá un precio según la cantidad de paquetes utilizados, proporcionará a los clientes un «sello de aprobación de la cámara de compensación de que su código abierto es seguro para usar en producción».

Ese servicio está muy bien, y ciertamente las dos poderosas empresas invertirán una gran cantidad de dinero y merecerán obtener ganancias, pero ¿cómo encajan los desarrolladores de código abierto y sus negocios en este nuevo enfoque? ¿Se convertirá esta propuesta cámara de compensación empresarial confiable en un guardián de facto para las grandes empresas? Si todos los parches se colocan en repositorios ascendentes, ¿por qué pagarán exactamente los clientes?

Todas esas son buenas preguntas y en este momento no hay buenas respuestas. Manténganse al tanto.

spot_img

Relacionada

Leave a Reply

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

spot_img
Datoprisma
Datoprismahttps://datoprisma.com

© 2026 Todos los derechos reservados | Desarrollado por Datoprisma