O open source virou a espinha dorsal da infraestrutura moderna. Linux, Kubernetes, Terraform, Java, Kafka, bibliotecas Python, frameworks de IA e milhares de outros componentes estão presentes em praticamente tudo: servidores, nuvem, bancos, sistemas corporativos e até ferramentas de inteligência artificial. O problema é que essa dependência gigantesca também criou um alvo enorme.
Com ferramentas de IA acelerando a descoberta de vulnerabilidades em softwares abertos, empresas começaram a perceber que o modelo tradicional de manutenção comunitária talvez não consiga acompanhar sozinho o ritmo da nova corrida por segurança. E é justamente nesse cenário que entram a IBM e sua subsidiária Red Hat com o Project Lightwell.
Elas anunciaram um investimento de US$ 5 bilhões para criar uma espécie de “central de segurança” voltada ao ecossistema open source corporativo. A proposta mistura inteligência artificial, validação em larga escala e um exército de mais de 20 mil engenheiros trabalhando diretamente na identificação, correção e coordenação de vulnerabilidades.
O que é o Project Lightwell?
Segundo a IBM, o Project Lightwell funcionará como um “trusted enterprise clearinghouse”, algo como uma camada intermediária de coordenação de segurança para softwares open source usados em ambientes corporativos.
Empresas poderão reportar vulnerabilidades encontradas em componentes que utilizam internamente, enquanto a IBM e a Red Hat ficam responsáveis por validar os problemas, desenvolver patches, testar a compatibilidade e coordenar a divulgação das correções junto aos projetos originais.
O objetivo não é substituir mantenedores upstream nem assumir o controle das comunidades open source. A ideia é atuar como uma camada extra de engenharia e validação voltada principalmente para empresas que dependem desses componentes em produção.
Grande parte do projeto gira em torno do uso de IA para automatizar tarefas de triagem, revisão e priorização de vulnerabilidades. A IBM cita o crescimento acelerado de pesquisas envolvendo IA ofensiva como um dos motivos para o lançamento. Modelos modernos conseguem analisar volumes absurdos de código em busca de falhas de segurança, algo que aumenta a pressão sobre projetos open source menores e mantenedores independentes.
Em vez de reduzir equipes técnicas por causa da IA, como várias empresas vêm fazendo, a IBM afirma, com este projeto, estar apostando no caminho oposto: ampliar a capacidade de engenharia usando IA como ferramenta auxiliar. Em suma, o Project Lightwell terá foco em revisão automatizada de vulnerabilidades, desenvolvimento de patches, endurecimento de dependências e manutenção upstream.
Muito além do Linux
Embora Linux seja uma parte importante da iniciativa, o escopo do projeto é bem maior. A IBM afirma que o Lightwell cobrirá tecnologias como Kubernetes, Kafka, Ansible, Terraform, Cassandra, Flink, Java, frameworks de IA, bibliotecas independentes e plataformas de streaming de dados.
Isso faz sentido quando se olha para a realidade atual das empresas. Hoje praticamente nenhum software corporativo é construído do zero. A maior parte depende de centenas, às vezes milhares, de componentes open source diferentes. Gerenciar a segurança desse ecossistema virou um problema gigantesco.
O projeto já está sendo testado por algumas das maiores instituições financeiras do mundo. Entre os participantes estão Bank of America, JPMorgan Chase, Goldman Sachs, Mastercard, Visa, Wells Fargo e Morgan Stanley.
A escolha do setor financeiro ocorre por operarem infraestruturas enormes, altamente reguladas e extremamente dependentes de software open source. Qualquer vulnerabilidade crítica pode gerar impactos bilionários. Essas empresas devem ajudar a moldar o funcionamento do sistema antes da expansão comercial em larga escala.
Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter!