IBM與Red Hat推出企業開源軟體供應鏈安全服務Project Lightwell,標榜AI輔助第三方套件漏洞修補

來源: iThome | 2026-05-29 URL: https://www.ithome.com.tw/news/176206 部落格: iThome(ID: 653)

核心概述

IBM 與 Red Hat 合作推出 Project Lightwell,提供企業開放原始碼軟體供應鏈安全服務,結合 AI 輔助漏洞分析,協助企業處理第三方開源套件漏洞並交付已驗證修補。

主要功能

  • 漏洞全流程處理: 審查 → 分流 → 優先排序 → 修補開發 → 驗證 → 交付
  • 交付成果: 針對企業既有套件版本、具備簽章驗證、納入 SLA 的已修補套件
  • 上游回饋機制: 修補完成後回饋給上游開源社群,降低企業自行維護分支負擔
  • 商業訂閱制,可整合至既有軟體供應鏈管理流程

定位與差異

  • 補強而非取代 Snyk、Sonatype、GitHub Advanced Security 等現有工具
  • 差異在於交付「可部署至正式環境的已驗證修補」,而非僅掃描發現漏洞

技術範圍

階段支援範圍
初期Maven / Java 生態系
未來擴展PyPI、NPM、Go 等

涵蓋:第三方開源函式庫、程式語言工具鏈、AI 框架、資料串流平臺

技術參考

參考 Anthropic Project GlasswingOpenAI Trusted Access for Cyber 計畫,應用代理式安全技術於開源套件風險管理。

早期採用企業

Bank of America、Goldman Sachs、JPMorganChase、Mastercard、Morgan Stanley、Royal Bank of Canada、Visa、Wells Fargo(8家金融業大型企業)

延伸背景

IBM 宣布投入 50 億美元重新定義 AI 時代開源未來,Project Lightwell 為此戰略的一部分,延伸 RHEL、OpenShift 等平台既有維護模式至更廣泛第三方套件。

衍生頁面