IBM與Red Hat推出Project Lightwell企業開源軟體供應鏈安全服務AI輔助第三方套件漏洞修補
發布時間: 2026-05-29
概述
IBM 與 Red Hat 聯合推出 Project Lightwell,一項企業級開放原始碼軟體供應鏈安全服務,以商業訂閱形式提供 AI 輔助漏洞管理,交付經過驗證的已修補開源套件版本。
核心功能
漏洞全流程管理
- 審查 → 分流 → 優先排序 → 修補開發 → 驗證 → 交付
- 企業不只收到漏洞報告,而是收到可直接部署的已驗證修補
修補品質保證
- 針對企業既有套件版本進行修補(不強制升級)
- 具備簽章驗證(signed patches)
- 納入 SLA(服務水準協議)
上游回饋
- 修補完成後回饋給上游開源社群,降低企業維護分支負擔
技術範圍
| 階段 | 涵蓋範圍 |
|---|---|
| 初期 | Maven / Java 生態系 |
| 未來 | PyPI、NPM、Go 等 |
| 特殊關注 | AI 框架、資料串流平臺 |
市場定位
補強而非取代現有工具(Snyk、Sonatype、GitHub Advanced Security),差異在於:
- 現有工具:掃描並報告漏洞
- Project Lightwell:交付可部署至正式環境的已驗證修補
參考框架
參考 Anthropic Project Glasswing 與 OpenAI Trusted Access for Cyber 計畫,將代理式安全技術應用於開源套件風險管理。
早期採用
8家金融業大型企業:Bank of America、Goldman Sachs、JPMorganChase、Mastercard、Morgan Stanley、Royal Bank of Canada、Visa、Wells Fargo
策略背景
IBM 宣布投入 50 億美元重新定義 AI 時代開源未來,Project Lightwell 為此戰略的一部分,延伸 RHEL、OpenShift 等平台既有維護模式至更廣泛第三方套件。
來源文章
相關頁面
- ibm — IBM(主要推動者)
- red-hat — Red Hat(共同推出者)
- IBM AI資安工具擴大布局與Project Glasswing參與 — IBM 2026年5月AI資安布局
- software-supply-chain-attack — 軟體供應鏈攻擊概念背景
- 歐盟網路韌性法案CRA施行與SBOM法遵要求2026 — 相關法遵趨勢