このテック大手のプロジェクトにより、企業がオープンソースパッケージを安全に利用しやすくなる可能性がある。
IBMは木曜日、ビジネス界全体で利用されているオープンソースソフトウェアパッケージの脆弱性を発見・修正するために50億ドルを投じると発表した。
「プロジェクト・ライトウェル」を通じて、IBMは「脆弱性を大規模に特定・修正するグローバルなエンジニア部隊と組み合わせた、信頼性の高いエンタープライズ向けクリアリングハウス」を構築し、展開前にAIを活用してパッチの検証とテストを行う、と同社は発表した。企業は既存のライフサイクル管理プロセスと統合した修正の自動展開を受けるため、このパッチングプログラムにサブスクリプション登録できるようになる。
「オープンソースは今日のデジタル経済の根幹であり、現代のAIの基盤です。そして今、その構築・セキュリティ確保・スケールアップの方法において、私たちは転換点を迎えています」とIBMのCEOであるアービンド・クリシュナは声明で述べた。「これはビジネス、政府、そして社会を支えるシステムへの信頼を強化することにほかなりません。」
IBMはすでに、バンク・オブ・アメリカ、ゴールドマン・サックス、JPモルガン・チェース、マスターカード、ビザといった主要金融機関とともにこのプログラムの試験運用を行っている。同社は、テスト段階から得られた教訓が「複雑なソフトウェアサプライチェーン全体において、脆弱性がどのように大規模に特定・検証・修正されるか」に反映されると述べた。
プロジェクト・ライトウェルのクリアリングハウスは、企業がオープンソースコードのセキュリティ問題について議論するための安全な環境を提供し、脅威アクターによる悪用を防ぎながら、オープンソースメンテナーが問題を把握するスピードを向上させる。
ハッカーたちは、グローバルな技術スタックにおけるオープンソースソフトウェアの重要性が明らかになるにつれ、その攻撃対象を増やしている。こうした悪用行為はオープンソースエコシステムの脆弱性を浮き彫りにしており、主にボランティアの開発者たちが脆弱性レポートへの対応に追われている。この問題はAIを活用した脆弱性発見によって深刻化の一途をたどっている。
世界最大規模のオープンソースコード利用企業の一つであるIBMによるこの新たなプロジェクトは、テック大手各社がオープンソースセキュリティへの投資拡大に向けた複数年計画に合意してから4年後に実現したものだ。3か月前には、主要AI企業がオープンソースメンテナーに生じた課題を軽減するための1,250万ドルの助成金を発表している。
翻訳元: https://www.cybersecuritydive.com/news/ibm-open-source-security-ai-project-lightwell/821348/
