Les deux entreprises réalisent un engagement de 5 Mds$ pour aider les entreprises à sécuriser les logiciels open source.
Avec l’apparition de Mythos, le modèle d’Anthropic qui aurait découvert 10 000 failles dans des systèmes très utilisés dans les entreprises, le petit monde l’informatique fait feu de tout bois pour renforcer la sécurité. IBM et Red Hat vont poser de 5 milliards de dollars soutenu par de nouvelles capacités d’IA de pointe et une force mondiale de plus de 200 ingénieurs pour aider les entreprises à sécuriser les logiciels open source.
Pourquoi ces derniers ? Les logiciels open source constituent le socle de l’infrastructure moderne des entreprises, plus de 90 % des sociétés du Fortune 500 s’appuyant sur l’OSS. Dans le même temps, les progrès de l’IA de pointe accélèrent la découverte et l’exploitation des vulnérabilités. Anthropic a récemment indiqué que son modèle Mythos Preview avait identifié près de 3900 vulnérabilités de gravité élevée ou critique dans les seuls logiciels open source.
Project Lightwell mettra en place un guichet centralisé qui servira de couche de coordination de la sécurité, en utilisant des capacités avancées d’IA pour valider et tester des correctifs sur un volume sans précédent de code open source. Ces capacités seront proposées via des abonnements commerciaux, permettant aux entreprises d’intégrer directement des correctifs sécurisés dans leurs chaînes d’approvisionnement logicielles existantes avec une validation de niveau entreprise et une gestion du cycle de vie.
IBM et Red Hat ont déjà commencé à collaborer avec un groupe restreint d’adopteurs précoces dans le cadre du projet : Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Banque Royale du Canada, State Street, Visa et Wells Fargo. Les enseignements tirés de ces premiers déploiements dans le monde réel façonneront activement la manière dont les vulnérabilités sont identifiées, validées et corrigées à grande échelle au sein de chaînes d’approvisionnement logicielles complexes.
. Grâce au modèle de guichet centralisé, les organisations peuvent signaler et résoudre les vulnérabilités et partager de manière responsable des problèmes de sécurité sensibles découverts dans les versions logicielles actives au sein d’un cadre d’intermédiation de confiance. Les entreprises auront la possibilité de déployer des correctifs validés et de recevoir des correctifs optimisés pour les environnements de production, couvrant à la fois les offres Red Hat et le code communautaire indépendant. Il sera possible de partager les correctifs en amont afin que les communautés open source puissent les intégrer à la maintenance de long terme. Ce modèle permet aux entreprises de faire appel à IBM et Red Hat pour résoudre des problèmes critiques de sécurité tout en renforçant l’open source dans son ensemble grâce à une divulgation responsable en amont.
IBM et Red Hat déploieront une équipe de plus de 200 ingénieurs, renforcée par des capacités avancées d’IA. Cette force technique mondiale opérera à la fois dans les environnements amont et d’entreprise, en se concentrant sur la maintenance en amont, l’examen, le triage et la priorisation des vulnérabilités à haut volume, assistés par l’IA ainsi que le développement de correctifs sécurisés, le renforcement des dépendances et l’ingénierie des versions.
