50億ドルのプロジェクト「Lightwell」は、AIシステムと2万人のエンジニアを組み合わせ、破壊的なアップグレードなしに検証済みの修正プログラムをエンタープライズのソフトウェアサプライチェーンに直接提供する。
オープンソースコードはエンタープライズのあらゆる場所に存在しており、Fortune 500企業の90%以上がそのソフトウェアサプライチェーンに組み込んでいると推定されている。しかし、オープンソースコードには脆弱性が多いことで知られており、それらのバグを特定してパッチを当てることは、セキュリティチームにとって終わりのない戦いになりかねない。
IBMとRed Hatは、新しい取り組みであるプロジェクト・Lightwellがこのプロセスの加速に貢献できると見込んでいる。
本日発表されたこのプロジェクトは、50億ドルとIBM・Red Hatの2万人のエンジニアを投じて、オープンソースソフトウェアにおける脆弱性の発見と修復を加速させる新たな「エンタープライズ・クリアリングハウス」を構築するものだ。両社によれば、このクリアリングハウスはAI駆動の「セキュリティ調整レイヤー」として機能し、企業が既存のソフトウェアサプライチェーンにパッチを直接統合できるようにするという。
現在11社の金融パートナーとともに設計フェーズにあるプロジェクト・Lightwellは、最終的に商用サブスクリプションとして提供される予定だ。
「AIツールの進歩によってパッチング・マップ、つまり修復速度を落とさずにソフトウェアの脆弱性を発見する能力が崩壊してしまった」と、Red HatのSVP兼CPOであるAshesh Badani氏はCSOonlineに語った。「誰もがオープンソースソフトウェアを使用しており、課題は脆弱性を十分なスピードで修正できないことだ。」
オープンソースのセキュリティ問題はよく知られている。2025年には約5万件のCVE(共通脆弱性識別子)が公開された。また、AnthropicのMythos Previewモデルを活用したプロジェクト「Glasswing」は、ローンチ直後にオープンソースソフトウェアの未発見の高度または深刻な脆弱性を約3,900件発見した。
IBMは最も広範な商用オープンソースエコシステムの一つとして知られており、62,000以上のパッケージを使用し、Linux、Kubernetes、Kafka、Terraform、Javaなどのプラットフォームで展開しながら、それらの環境内の要素についてライフサイクル管理、検証、パッチ適用を提供している。
同社によれば、プロジェクト・Lightwellはこれらと同じエンジニアリングの原則を、より広範なAIフレームワーク、独立ライブラリ、言語ツールチェーン、データストリーミングプラットフォームに適用し、エンタープライズ環境ですでに使用されているオープンソースコードに検証済みの修正を提供するという。これにより、安定性、認証、コンプライアンスを損なうことなく修復をサポートできる。
アップグレードやソースコードへのアクセスは不要で、プロジェクト・Lightwellはすでにテスト・デプロイ済みの正確な依存バージョンに修正をバックポートする。pom.xmlなどの基本的な設定マニフェスト上で動作するため、パッチ済みアーティファクトのロールアウト時もコードは管理されたエンタープライズ環境内に留まる。当初はJava/Mavenに焦点を当て、最終的にはPyPI、npm、Go等にも拡大予定だ。
企業は「セキュアな仲介モデル」を通じて機密性の高い脆弱性をエンバーゴ下で共有し、Red Hatプラットフォームと独立コミュニティコードにまたがる検証済みのパッチを受け取ることができる。また、依存チェーン全体に修正を展開したり、本番環境での問題を報告・対処したり、修正をアップストリームで共有してより広いオープンソースコミュニティが取り込めるようにすることも可能だ。
「クリアリングハウスを通じて企業に提供する修正が、[コードを]開発したオープンソースコミュニティにも必ず還元されるようにしたい」とBadani氏は説明した。例えば、Pythonコードの一部にパッチが当たった場合、その修正はPythonコミュニティに迅速に還元されるべきだ。プロジェクト・Lightwellでは、そのプロセスを「セキュアマップ」によって実現できる。
高度なAIを活用し、主要なオープンソースコントリビューターと協力しながら、IBMとRed Hatのエンジニアはアップストリームとダウンストリームの環境を接続し、修正がエンタープライズ対応になるよう取り組む。また、パッチの開発や「大量の」脆弱性レビュー・トリアージ、依存関係のハードニングも行う。
2万人のエンジニアネットワークはIBMとRed Hatの既存の人材プールから形成され、必要に応じてチームを拡充していくとBadani氏は説明した。両社はフロンティアラボから生まれるファウンデーションモデルのほか、社内で構築したAIツールやフレームワークも活用する。50億ドルはチームへのAIツール提供と社内の運用インフラ整備に充てられる。
プロジェクト・Lightwellの初期採用企業には、バンク・オブ・アメリカ、BNY、シティ、ゴールドマン・サックス、JPモルガンチェース、マスターカード、モルガン・スタンレー、カナダ王立銀行、ステート・ストリート、ビザ、ウェルズ・ファーゴが含まれる。初期設計期間を経て、IBMとRed Hatはサブスクリプションモデルによってより多くの顧客をプロジェクト・Lightwellに段階的に移行させていく予定だ。
行動への呼びかけ
このような取り組みは、エンタープライズがオープンソースを救うために「切実に必要とされている」と、Beauceron SecurityのDavid Shipley氏は指摘した。
数兆ドルの富がボランティアに依存してきた時代はMythosによって「激しく終わった」と同氏は述べ、オープンソースに対する代償がついに訪れたとした。企業は費用を負担するか、さもなければオープンソースを失うかのどちらかになるだろう。
「オープンソースへの投資方法を見つけられなければ——それは長年の公平性の問題も解決することになるが——代替案は皆がAIを使って独自のビスポークコードを構築することになる」とShipley氏は語った。それはコンピューティングと環境の観点から「甚だしく無駄」なことになるだろう。
「これが他者を行動に駆り立てることを願っている」と同氏は述べた。
継続的な戦いの中で人間を関与させ続けること
Badani氏は、AIはオープンソースコードのセキュリティ上の問題を発見するのに優れているが、パッチ適用のプロセスは依然として煩雑になりうると強調した。修正はアップストリームに送られ、オープンソースコミュニティに配布され、その後顧客やユーザーに届くまでの流れが必要となる。
「バグを見つけることは一つのことだ」とBadani氏は言う。「もう一つは、実際に修復するために必要なすべてのステップだ。その余分な時間こそが、我々が埋めようとしているギャップだ。」
問題の深刻さを裏付けるように、IBMとRed Hatはプロジェクト・Lightwellの発表以来、すでに「押し寄せる大量のリクエスト」を受けているという。
「これは近いうちに止まることはないだろう」とBadani氏は述べた。「最初に持ち込まれる課題を非常にうまく解決できたとしても、これは企業が継続的または定期的に必要とするものになるだろう。」
また、人間のエンジニアをAIに置き換えるという議論が注目を集めているが、プロジェクト・Lightwellはその逆に焦点を当てている。「AIツールと人間の知識・専門性の組み合わせによって[問題に]対処できる」とBadani氏は語った。「両者を組み合わせることで、どちらか一方だけを使うよりも優れた成果が得られる。」
この記事はもともとInfoWorldに掲載されたものです。
