IBM与Red Hat携手打造企业开源安全“清算中心“ 开源代码在企业领域无处不在据估计超过90%的财富500强企业的软件供应链中都包含开源代码。然而开源代码安全漏洞问题由来已久识别和修复这些漏洞对安全团队而言几乎是一场没有尽头的持久战。IBM与Red Hat正押注于一项名为Project Lightwell的新计划希望借此加速这一修复过程。该项目于近日正式宣布IBM与Red Hat将投入50亿美元并调配2万名工程师共同构建一个全新的企业级安全清算中心旨在加速发现和修复开源软件中的安全漏洞。两家公司表示该清算中心将作为一个由AI驱动的安全协调层使企业能够将补丁直接集成到现有软件供应链中。目前Project Lightwell已与11家金融合作伙伴共同进入设计阶段未来将以商业订阅形式对外提供服务。Red Hat高级副总裁兼首席产品官Ashesh Badani表示AI工具的进步打破了传统的补丁路线图即在不牺牲修复速度的前提下发现软件漏洞的能力。所有人都在运行开源软件而问题在于无法足够快速地修复漏洞。开源安全问题已有大量记录在案仅2025年就发布了近5万个通用漏洞与暴露CVE。Anthropic旗下由Mythos Preview模型驱动的Project Glasswing在上线不久后便在开源软件中发现了约3900个此前未被记录的高危或严重级别漏洞。IBM被视为业内覆盖最广泛的商业开源生态系统之一使用超过62,000个软件包并在Linux、Kubernetes、Kafka、Terraform、Java等多个平台上运行为这些环境中的组件提供生命周期管理、验证和补丁支持。IBM表示Project Lightwell将把上述工程原则延伸应用至更广泛的AI框架、独立库、语言工具链和数据流平台为企业环境中已在使用的开源代码提供经过验证的修复方案实现在不影响系统稳定性、认证状态或合规要求的前提下完成修复。该项目无需升级或访问源代码Project Lightwell将针对已完成测试和部署的确切依赖版本进行补丁回移。它基于pom.xml等基础配置清单运行确保在推出已修复的构建制品时代码始终保留在受控的企业环境中。初期将聚焦于Java/Maven后续将逐步扩展至PyPI、npm、Go等生态系统。企业可通过安全中间方模式在保密状态下共享敏感漏洞信息并接收涵盖Red Hat平台及独立社区代码的经验证补丁。此外企业还能够在依赖链范围内分发修复方案在活跃的生产环境中报告和处理问题并将修复成果回馈上游供更广泛的开源社区采用。Badani解释道我们希望确保通过清算中心提供给企业的任何修复方案最终也能回流到开发该代码的开源社区。例如某段Python代码完成修复后相关补丁应能迅速回馈给Python社区。通过Project Lightwell这一流程可借助安全映射机制得以实现。IBM与Red Hat的工程师将借助先进AI技术与主要开源贡献者协作专注于打通上下游环境确保修复方案达到企业可用标准。他们还将开发补丁执行大规模漏洞审查与分类以及依赖项加固工作。2万名工程师将从IBM与Red Hat现有人才储备中抽调并视需要扩充团队规模。两家公司将充分利用前沿实验室推出的基础模型以及内部自研的AI工具和框架。50亿美元将用于为团队配备AI工具并建设内部运营基础设施。Project Lightwell的早期采用机构包括美国银行、纽约梅隆银行、花旗、高盛、摩根大通、万事达、摩根士丹利、加拿大皇家银行、道富、Visa和富国银行。初始设计阶段结束后IBM与Red Hat将通过订阅模式逐步向更多客户开放Project Lightwell。Beauceron Security的David Shipley指出如果企业要拯救开源生态这类举措迫切需要。他表示依靠志愿者支撑数万亿美元财富的时代已随Mythos的出现戛然而止开源领域的账单终究还是到了该结清的时候。企业必须选择投入否则将面临失去这一生态的风险。如果我们找不到投资开源的方式——而这也将解决一个长期存在的公平性问题——替代方案就是人人都用AI构建自己的定制代码Shipley说从算力和环境角度来看那将是极大的浪费。我希望这能推动更多机构采取行动他补充道。Badani强调虽然AI在发现开源代码安全问题方面表现出色但修复过程依然繁琐。修复方案需要先发送至上游再分发给开源社区最终才能流转回客户和用户手中。发现漏洞是一回事Badani说而实际完成修复所需经历的所有步骤则是另一回事。这段额外耗费的时间正是我们试图帮助缩短的差距。为凸显问题的严峻程度Badani透露Project Lightwell自宣布以来已收到大量涌入的合作请求。这不会很快停止Badani表示即使我们能够非常成功地解决最初面临的那批挑战这也将是企业持续、反复需要的能力。尽管外界普遍存在以AI替代人类工程师的讨论Project Lightwell的方向恰恰相反。我们可以通过AI工具与人类知识和专业经验的结合来应对这一问题Badani说两者的协同所带来的效果优于单独使用任何一方。QAQ1Project Lightwell是什么它能解决哪些问题AProject Lightwell是IBM与Red Hat联合发起的企业级开源安全计划投入50亿美元并调配2万名工程师旨在构建一个由AI驱动的企业级安全清算中心。它能够加速发现和修复企业软件供应链中的开源代码漏洞支持在不影响系统稳定性、认证状态或合规要求的情况下完成补丁部署并将修复成果回馈开源社区。Q2Project Lightwell目前支持哪些技术平台AProject Lightwell初期将聚焦于Java/Maven生态基于pom.xml等基础配置清单运行无需升级或访问源代码可针对已部署的确切依赖版本进行补丁回移。未来计划逐步扩展支持PyPI、npm、Go等更多主流开源生态系统。Q3哪些企业已经加入了Project LightwellA目前已有11家金融机构成为Project Lightwell的早期采用伙伴包括美国银行、纽约梅隆银行、花旗、高盛、摩根大通、万事达、摩根士丹利、加拿大皇家银行、道富、Visa和富国银行。初始设计阶段结束后该项目将通过商业订阅模式向更多企业开放。