维度网讯，IBM与红帽（Red Hat）联合宣布启动一项名为Project Lightwell的新计划，计划投入50亿美元并调动2万名工程师，旨在打造一个“企业清算所”，以加速发现和修复开源软件中的安全漏洞。该项目目前处于设计阶段，已与11家金融合作伙伴协作，未来将以商业订阅形式提供。

开源代码在企业软件供应链中应用广泛，但漏洞问题一直困扰着安全团队。2025年发布了近5万个常见漏洞和暴露（CVE），Anthropic公司的Project Glasswing项目也在开源软件中发现了约3900个此前未知的高危或严重漏洞。IBM自身使用超过6.2万个软件包，涉及Linux、Kubernetes、Kafka等多个平台。

Project Lightwell计划作为一个由AI驱动的“安全协调层”，使企业能够将经过验证的补丁直接集成到现有软件供应链中，无需升级或访问源代码。补丁将回溯到已经测试和部署的确切依赖版本。初始重点放在Java/Maven上，后续将扩展到PyPI、npm、Go等平台。企业可通过“安全中介模型”在保密状态下共享漏洞，并接收覆盖红帽平台和独立社区代码的补丁。

该计划的早期采用者包括美国银行（Bank of America）、纽约梅隆银行（BNY）、花旗银行（Citi）、高盛（Goldman Sachs）、摩根大通（JPMorganChase）、万事达卡（Mastercard）、摩根士丹利（Morgan Stanley）、加拿大皇家银行（Royal Bank of Canada）、道富银行（State Street）、Visa和富国银行（Wells Fargo）。在初始设计阶段后，IBM和红帽将通过订阅模式逐步引入更多客户。

红帽高级副总裁兼首席产品官Ashesh Badani表示，AI工具在发现漏洞方面表现出色，但修复过程仍然繁琐，发现与修复之间的时间差正是该计划试图缩小的差距。Beauceron Security的David Shipley指出，这类举措对于解决开源投资的公平问题“迫切必要”，否则企业可能面临使用AI构建定制代码带来的巨大浪费。Badani强调，Project Lightwell的核心是通过AI工具与人类工程知识的结合来解决问题，而非以AI取代人类。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com