IBM與Red Hat推出Project Lightwell企業開源軟體供應鏈安全服務AI輔助第三方套件漏洞修補

發布時間: 2026-05-29

概述

IBM 與 Red Hat 聯合推出 Project Lightwell,一項企業級開放原始碼軟體供應鏈安全服務,以商業訂閱形式提供 AI 輔助漏洞管理,交付經過驗證的已修補開源套件版本。

核心功能

漏洞全流程管理

  • 審查 → 分流 → 優先排序 → 修補開發 → 驗證 → 交付
  • 企業不只收到漏洞報告,而是收到可直接部署的已驗證修補

修補品質保證

  • 針對企業既有套件版本進行修補(不強制升級)
  • 具備簽章驗證(signed patches)
  • 納入 SLA(服務水準協議)

上游回饋

  • 修補完成後回饋給上游開源社群,降低企業維護分支負擔

技術範圍

階段涵蓋範圍
初期Maven / Java 生態系
未來PyPI、NPM、Go 等
特殊關注AI 框架、資料串流平臺

市場定位

補強而非取代現有工具(Snyk、Sonatype、GitHub Advanced Security),差異在於:

  • 現有工具:掃描並報告漏洞
  • Project Lightwell:交付可部署至正式環境的已驗證修補

參考框架

參考 Anthropic Project Glasswing 與 OpenAI Trusted Access for Cyber 計畫,將代理式安全技術應用於開源套件風險管理。

早期採用

8家金融業大型企業:Bank of America、Goldman Sachs、JPMorganChase、Mastercard、Morgan Stanley、Royal Bank of Canada、Visa、Wells Fargo

策略背景

IBM 宣布投入 50 億美元重新定義 AI 時代開源未來,Project Lightwell 為此戰略的一部分,延伸 RHEL、OpenShift 等平台既有維護模式至更廣泛第三方套件。

來源文章

相關頁面