新上线今天0 投票
开源安全乱象丛生,IBM与Red Hat押注50亿美元和2万名工程师能否力挽狂澜?
开源软件的安全问题正日益严峻,维护者不堪重负。IBM与Red Hat联合推出 Project Lightwell,这是一项由AI驱动的、旨在以工业级规模发现并修复开源软件漏洞的计划。两家公司计划投入 50亿美元,动员 2万名工程师,打造一个集中式安全漏洞处理中心。
背景:开源维护者的困境
随着AI的普及,开源项目面临双重挑战:一方面,AI帮助开发者更快编程和发现缺陷;另一方面,大量AI生成的漏洞报告让维护者应接不暇。知名开源项目 cURL 的创始人兼维护者 Daniel Steinberg 坦言:“2026年安全报告涌入速度是2024年的4到5倍,是2025年的两倍。”他首次承认“工作强度前所未有,但漏洞洪流仍在持续”,已濒临过劳。他呼吁更多公司提供资金支持,以雇佣更多开发者分担压力。
Project Lightwell:AI驱动的安全中心
IBM与Red Hat的回应是Project Lightwell——一项“前所未有的力量”,旨在以工业规模识别并修复开源软件漏洞。它计划成为事实上的开源组件安全中心,覆盖支撑现代企业IT的核心组件。不过,该项目并非直接向上游开发者支付报酬,而是为IBM和Red Hat的工程师提供先进的AI工具,让他们专注于修复关键开源项目的安全问题。
Anthropic的 Mythos Preview模型 已在短短几周内识别出近 3900个严重安全漏洞,凸显了快速修复的紧迫性。为此,两家公司将投入 50亿美元 并动员 2万名工程师,在未来数年内推进该项目。
订阅模式与未来展望
Lightwell将采用订阅制服务,但具体定价和运作细节尚未公布。这一模式能否有效缓解开源维护者的压力,并真正提升软件供应链的安全性,仍有待观察。但无疑,这是迄今为止企业界对开源安全最重大的投入之一。
