IBM dan Red Hat meluncurkan Lightwell untuk melindungi kode sumber terbuka dari serangan AI
IBM/Red HatIkuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google. Hal-hal penting yang dapat diambil dari ZDNET Lightwell kini menjadi layanan untuk pertahanan AI sumber terbuka. Akrites dan Athena mengambil pendekatan serupa. Serangan berbasis AI membutuhkan pembela yang didukung AI. Bagi pengembang perangkat lunak, AI adalah berkah sekaligus kutukan. Di satu sisi, AI memungkinkan pengembang membuat program lebih cepat dari sebelumnya. Di sisi lain, AI memungkinkan peretas menemukan dan mengeksploitasi celah keamanan dengan lebih cepat. Untuk mengatasi hal ini, IBM dan Red Hat meluncurkan Project Lightwell. Didukung oleh inisiatif bertenaga AI senilai $5 miliar, tugas Lightwell adalah menemukan dan memperbaiki kerentanan dalam perangkat lunak sumber terbuka pada skala industri. Sekarang, ia berpindah dari sebuah proyek ke produk: Lightwell Network dan Lightwell Clearinghouse Premier. Selain itu: Keamanan sumber terbuka berantakan – IBM dan Red Hat bertaruh $5 miliar dan 20.000 insinyur dapat memperbaikinya. Lightwell Network tersedia secara umum, sementara Lightwell Clearinghouse Premier memasuki fase orientasi dengan ketersediaan terbatas. Menurut perusahaan tersebut, “Lightwell kini memperluas perlindungan perusahaan yang telah terbukti tersebut ke seluruh portofolio perangkat lunak suatu organisasi.” Kedua layanan ini memberikan cara untuk mengamankan komponen sumber terbuka untuk perusahaan, tidak hanya komponen yang dikirimkan dalam produk Red Hat dan IBM. Keamanan sumber terbuka bertenaga turbo Kedua perusahaan menekankan bahwa ini bukanlah pendekatan baru, melainkan mega proyek sumber terbuka super canggih yang didukung oleh AI dan 20.000 insinyur. Ini adalah “model yang dibangun berdasarkan kepercayaan selama puluhan tahun, di mana Red Hat telah mengamankan sistem paling penting di dunia untuk ribuan pelanggan,” dan memperluasnya untuk mencakup bagian yang lebih luas dari tumpukan perangkat lunak. Inti dari penawaran ini adalah apa yang digambarkan oleh pasangan ini sebagai “kemampuan throughput tinggi dari mesin remediasi generatif bertenaga AI yang sudah aktif dan beroperasi dalam skala besar.” Jalur otomatisasi ini “menggabungkan model AI terdepan dengan keahlian rekayasa manusia untuk mengidentifikasi, memvalidasi, dan memulihkan kerentanan di seluruh dependensi penting yang tertanam jauh di dalam arsitektur perangkat lunak modern.” Selain itu: IBM mengatakan bahwa mereka dapat memuat hampir 100 miliar transistor dalam sebuah chip – mengapa pencapaian ini penting Daripada memaksa pelanggan terus-menerus mengejar rilis upstream, Lightwell “menggunakan otomatisasi untuk mendukung perbaikan penting secara langsung ke versi perangkat lunak produksi yang berumur panjang, membantu mengatasi pengujian regresi yang panjang dan perubahan yang sering kali melumpuhkan tim yang terpaksa melakukan upgrade upstream besar-besaran.” remediasi bernilai tinggi.” Anggota menerima “aliran berkelanjutan dari binari yang ditandatangani secara digital, kode sumber, dan artefak kepatuhan yang komprehensif, termasuk Perangkat Lunak Bills of Materials (SBOM) yang lengkap, dikirimkan langsung ke saluran yang ada tanpa penyimpangan kode.” Yang kedua, Lightwell Clearinghouse Premier, “dirancang untuk berfungsi sebagai perantara tepercaya untuk kolaborasi industri yang mendalam, koordinasi ancaman vertikal tingkat lanjut, dan mengamankan embargo patch.” Awalnya, Lightwell Clearinghouse Premier akan terbatas pada layanan keuangan. Organisasi yang berpartisipasi dapat menyampaikan kerentanan dan meminta “remediasi versi yang ditargetkan di bawah jendela embargo yang aman.” Jika berhasil, program ini akan diperluas ke pemerintahan, layanan kesehatan, dan telekomunikasi. Bagaimana Lightwell mengubah persamaan patching IBM dan Red Hat secara eksplisit menyatakan bahwa targetnya adalah apa yang mereka gambarkan sebagai model remediasi yang rusak di era eksploitasi murah yang didorong oleh AI. Dengan “perangkat lunak perusahaan” yang bersifat open source, mereka berpendapat, “volume besar dan eksploitasi yang dihasilkan oleh AI senilai 50 dolar telah merusak manajemen patch tradisional.” Lightwell, klaim vendor, dirancang untuk memitigasi risiko yang belum dipetakan ini dan menetralisir kemacetan eksekusi dengan mengevaluasi konteks aplikasi dan interaksi ketergantungan untuk memberikan perbaikan yang divalidasi langsung ke alur kerja aktif. Seperti yang dikatakan Matt Hicks, presiden dan CEO Red Hat, “Lightwell mewakili perubahan struktural mendasar dalam cara kami mengamankan semua perangkat lunak perusahaan. Dengan memadukan remediasi otomatis dengan warisan teknik kami yang mendalam, kami bertujuan untuk menghadirkan infrastruktur tepercaya yang diperlukan untuk menggunakan sumber terbuka secara andal, berkelanjutan, dan dengan kecepatan model terdepan.” Juga: Terjebak dalam mode percontohan AI? IBM mempunyai solusi untuk membantu Anda meningkatkan skala bisnis Anda – tanpa merusak segalanyaRob Thomas, wakil presiden senior IBM untuk perangkat lunak dan chief komersial officer, menggarisbawahi sudut pandang “kami akan melakukan kerja keras untuk Anda”. “IBM dan Red Hat memberikan perusahaan-perusahaan perbaikan tersertifikasi yang dapat mereka gunakan langsung ke dalam sistem yang telah mereka jalankan, tanpa peralatan ulang atau gangguan, yang didukung oleh jaringan teknologi dan mitra pengiriman yang terus berkembang,” katanya. Lightwell juga sangat bergantung pada model “upstream-always” Red Hat. Menurut pengumuman tersebut, “perbaikan keamanan secara aktif diserahkan kembali ke komunitas sumber terbuka asal untuk ditinjau dan diterima,” yang dimaksudkan untuk memastikan “perlindungan komersial dan kesehatan masyarakat terus memperkuat satu sama lain, mencegah fragmentasi proyek tanpa risiko dalam produksi dalam waktu nol hari.” Kedengarannya bagus, namun IBM dan Red Hat bukanlah satu-satunya perusahaan yang berupaya menggunakan AI untuk mempertahankan kode sumber terbuka dari penyerang yang digerakkan oleh AI. Dimana Akrites cocok Lightwell tidak ada dalam ruang hampa. Linux Foundation, bersama dengan mitra industri, baru-baru ini meluncurkan Akrites untuk melindungi perangkat lunak sumber terbuka yang penting dari ancaman yang didukung AI. Akrites memitigasi risiko rantai pasokan perangkat lunak sumber terbuka dengan memperkuat proyek sumber terbuka yang penting. Hal ini dilakukan dengan menciptakan kerangka umum tentang bagaimana pengelola dan konsumen berkoordinasi dalam mengatasi kerentanan yang serius. Meskipun Lightwell adalah layanan komersial, Akrites adalah upaya yang dikelola yayasan yang berfokus pada proses dan koordinasi untuk proyek itu sendiri. Tujuannya adalah untuk memberikan cara yang rahasia dan terstruktur kepada pengelola dan pengguna infrastruktur penting untuk menangani kelemahan yang ditemukan oleh AI, menstandardisasi remediasi dan pengungkapan kerentanan, alih-alih memberikan patch yang di-backport dan spesifik untuk perusahaan. Juga: Red Hat Desktop vs. Fedora Hummingbird: Jalur Linux pengembangan AI mana yang tepat untuk Anda? Garis-garis itu sudah kabur. Dalam pengumuman Lightwell, VP Pengembangan Mitra vendor perangkat lunak independen (ISV) Microsoft, Sandy Gupta, menunjukkan secara langsung titik temu tersebut: “Kecepatan dalam mengirimkan patch kepada pelanggan sangatlah penting. Kami telah bekerja sama dengan IBM dan Red Hat sebagai bagian dari upaya Akrites dari Linux Foundation dan sekarang memperluas kolaborasi tersebut ke Lightwell untuk memastikan perbaikan penting menjangkau pelanggan secepat mungkin menggunakan mekanisme dan alat pengiriman tercepat.” Dalam praktiknya, Akrites bertujuan untuk membentuk cara proyek sumber terbuka yang penting menangani kerentanan di dunia yang dipercepat oleh AI, sementara Lightwell menawarkan kepada perusahaan cara untuk menggunakan perbaikan tersebut dan backport yang direkayasa oleh IBM/Red Hat berdasarkan kontrak. Jika Athena dari Chainguard cocok, koalisi Athena dari Chainguard menempati sudut lain dalam perlombaan keamanan yang bergerak cepat ini. Athena adalah koalisi industri yang melindungi perangkat lunak sumber terbuka dari serangan AI. Ini dibuat untuk era model frontier, di mana sistem AI dapat menemukan kelemahan serius lebih cepat daripada yang dapat diperbaiki oleh siapa pun. Seperti Lightwell, Athena dibingkai sebagai semacam lembaga kliring (clearinghouse) yang didukung AI, namun alih-alih layanan vendor tunggal, Athena mengumpulkan temuan kerentanan dan upaya remediasi dari “lebih dari dua lusin organisasi,” termasuk bank dan penyedia infrastruktur besar, serta pengembang. Athena sudah menerbitkan metrik awal. Menurut Chainguard, “Athena sudah beroperasi saat ini. Mereka memproses 40.000+ temuan dan menghasilkan 2.000+ patch di 500+ proyek sumber terbuka. Koalisi ini menggunakan AI untuk menemukan dan memperbaiki kerentanan dalam perangkat lunak sumber terbuka yang banyak digunakan sebelum penyerang dapat mengeksploitasinya.” Fokusnya adalah pada perpustakaan, kontainer, dan komponen lain yang mendukung sistem penting. Juga: Seberapa berdaulatnya organisasi Anda secara digital? Alat Red Hat ini dapat memberi tahu Anda dalam hitungan menitSeperti yang dijelaskan oleh pendiri dan CEO Chainguard Dan Lorenc, “Athena menyediakan tempat bagi organisasi untuk menemukan → memperbaiki → melindungi → memunculkan → mengungkap kerentanan yang ditemukan oleh model AI terdepan. Temuan datang dari seluruh koalisi. Kami membuat perbaikan di bawah embargo. Mitra menumpuk perlindungan non-tambalan di sekelilingnya. Kami memunculkan eksposur yang tidak akan terlihat. Dan kemudian perbaikan yang tahan lama akan diserahkan ke pengelola hulu yang dapat menjadikannya permanen.” Berbeda dengan penekanan Lightwell pada pengiriman backport yang siap untuk perusahaan ke dalam saluran pelanggan, alur kerja Athena dimulai dengan kumpulan temuan AI yang “dihapus duplikatnya, diprioritaskan, dan diperkaya dalam clearinghouse bersama,” setelah itu anggota koalisi berkolaborasi dalam patch dan mitigasi sebelum kerentanan dipublikasikan. Ketika patch yang bersih belum tersedia, “Athena memberikan perlindungan independen sehingga cakupan tetap ada meskipun tidak ada patch yang tepat waktu, dan terus memantau setiap kelemahan hingga solusi hulu yang kuat dapat ditetapkan.” Perbaikan tersebut kemudian dimaksudkan untuk mengalir ke hulu dan ke dalam artefak bawaan Chainguard yang aman, termasuk gambar dan paket minimal yang sesuai dengan SLSA. Tiga model untuk pertahanan open source era AI Secara keseluruhan, Lightwell, Akrites, dan Athena menguraikan tiga respons yang berbeda dan semakin tumpang tindih terhadap masalah mendasar yang sama: Peralatan AI yang murah dan cepat yang dapat menemukan dan mempersenjatai kelemahan dalam open-source commons dengan lebih cepat dibandingkan dengan patch pipeline tradisional. Selain itu: IBM mengatakan pihaknya dapat memuat hampir 100 miliar transistor dalam sebuah chip – mengapa pencapaian ini penting? Akrites berfokus pada tata kelola dan proses untuk proyek-proyek penting, mencoba menstandardisasi cara pengelola dan pengguna utama menangani kerentanan yang didorong oleh AI dan patch yang diembargo. Athena menggabungkan penelitian kerentanan yang dipercepat AI dalam koalisi lintas industri yang berbagi temuan, mengoordinasikan remediasi pra-pengungkapan, dan mendorong perbaikan ke hulu sekaligus memasukkannya ke dalam artefak rantai pasokan yang lebih kuat. Lightwell, sebaliknya, ditujukan pada perusahaan yang tidak ingin repot, hanya perbaikan tersertifikasi yang dapat mereka terapkan langsung ke sistem yang sudah mereka jalankan, tanpa peralatan ulang atau gangguan. Dalam waktu dekat, kita akan membutuhkan semuanya dan lebih banyak lagi. AI mentransformasi perangkat lunak dan keamanan sumber terbuka. Sampai kita menemukan jalan ke depan untuk benar-benar mengamankan kode kita, kita perlu mencoba semua pendekatan ini dan melihat pendekatan mana yang paling berhasil melindungi kita dan program kita.
Diterbitkan : 2026-07-08 17:26:00
sumber : www.zdnet.com



