IBM與Red Hat推出企業開源軟體供應鏈安全服務Project Lightwell,標榜AI輔助第三方套件漏洞修補
來源: iThome | 2026-05-29 URL: https://www.ithome.com.tw/news/176206 部落格: iThome(ID: 653)
核心概述
IBM 與 Red Hat 合作推出 Project Lightwell,提供企業開放原始碼軟體供應鏈安全服務,結合 AI 輔助漏洞分析,協助企業處理第三方開源套件漏洞並交付已驗證修補。
主要功能
- 漏洞全流程處理: 審查 → 分流 → 優先排序 → 修補開發 → 驗證 → 交付
- 交付成果: 針對企業既有套件版本、具備簽章驗證、納入 SLA 的已修補套件
- 上游回饋機制: 修補完成後回饋給上游開源社群,降低企業自行維護分支負擔
- 商業訂閱制,可整合至既有軟體供應鏈管理流程
定位與差異
- 補強而非取代 Snyk、Sonatype、GitHub Advanced Security 等現有工具
- 差異在於交付「可部署至正式環境的已驗證修補」,而非僅掃描發現漏洞
技術範圍
| 階段 | 支援範圍 |
|---|---|
| 初期 | Maven / Java 生態系 |
| 未來擴展 | PyPI、NPM、Go 等 |
涵蓋:第三方開源函式庫、程式語言工具鏈、AI 框架、資料串流平臺
技術參考
參考 Anthropic Project Glasswing 與 OpenAI Trusted Access for Cyber 計畫,應用代理式安全技術於開源套件風險管理。
早期採用企業
Bank of America、Goldman Sachs、JPMorganChase、Mastercard、Morgan Stanley、Royal Bank of Canada、Visa、Wells Fargo(8家金融業大型企業)
延伸背景
IBM 宣布投入 50 億美元重新定義 AI 時代開源未來,Project Lightwell 為此戰略的一部分,延伸 RHEL、OpenShift 等平台既有維護模式至更廣泛第三方套件。
衍生頁面
- IBM與Red Hat推出Project Lightwell企業開源軟體供應鏈安全服務AI輔助第三方套件漏洞修補 — 核心概念頁面
- ibm — IBM實體頁面(已更新)
- red-hat — Red Hat實體頁面(已更新)