Avec le projet Lightwell, IBM et Red Hat gèrent les patchs des logiciels open source

Face à l'afflux attendu de correctifs de failles découvertes par l'IA sur les logiciels open source, IBM et Red Hat présentent le projet Lightwell. Cette plateforme combinant IA et expertise humaine sert de couche de coordination pour intégrer les patchs dans la supply chain logicielle des entreprises sans interruption de service.

En début de semaine Anthropic a dressé un premier bilan du projet Glasswing reposant sur le modèle Mythos. Il revendiqué la découverte de plusieurs milliers de failles dans des applications open source. Un afflux qui inquiète les spécialistes de la cybersécurité sur la capacité à élaborer des correctifs et à les appliquer dans un délai raisonnable. Pour répondre à ces problématiques, IBM et sa filiale Red Hat viennent de présenter le projet Lightwell, doté d’un budget de 5 Md$ et mobilisant 20 000 ingénieurs des deux sociétés.

L’objectif de l’initiative est de créer une plateforme pour accélérer la détection et la correction des vulnérabilités dans les logiciels open source. Elle doit servir de « couche de coordination de sécurité » basée sur l’IA pour que les entreprises puissent intégrer directement les correctifs dans leur cycle de développement logiciel existant. La plateforme est actuellement en phase de conception et en test auprès de plusieurs établissements financiers : Bank of America, BNY, Citi, Goldman Sachs, JPMorganChase, Mastercard, Morgan Stanley, Royal Bank of Canada, State Street, Visa et Wells Fargo.

Des correctifs et une collaboration avec les communautés

IBM indique que le projet Lightwell appliquera désormais les mêmes principes d’ingénierie à des frameworks IA, des bibliothèques indépendantes, des chaînes d’outils de langages et des plateformes de flux de données, afin de fournir des correctifs validés pour le code ouvert déjà utilisé en entreprise. Big Blue précise qu'il est particulièrement exposé avec 62 000 package concernant Linux, Java, Kubernetes, Kafka, Ansible, Terraform, Flink, Cassandra,...Cette approche permet une correction sans interruption de la stabilité, de la certification ou de la conformité. Aucune mise à niveau ni accès au code source n’est requis. Le projet permettra de rétroporter les correctifs vers les versions exactes des dépendances déjà testées et déployées. Il s'appuie sur des fichiers de configuration fondamentaux comme pom.xml afin que le code reste confiné aux environnements d'entreprise contrôlés lors du déploiement des correctifs. Initialement axé sur Java/Maven, le projet s'étendra par la suite à PyPI, npm, Go et d'autres plateformes. A noter que Lightwell est complémentaire à des solutions comme Snyk, Sonatype et GitHub Advanced Security.

Les entreprises pourront partager des vulnérabilités sensibles sous embargo via un « modèle d'intermédiaire sécurisé » et recevoir des correctifs validés pour les plateformes Red Hat et le code de la communauté indépendante. Elles pourront également déployer des correctifs sur l'ensemble des chaînes de dépendances, signaler et résoudre les problèmes dans les environnements de production actifs, et partager les correctifs en amont afin que la communauté open source puisse les intégrer. « Nous voulons nous assurer que tous les correctifs que nous fournissons aux entreprises via la plateforme soient également mis à la disposition de la communauté open source qui a développé le code », explique Ashesh Badani, vice-président senior et directeur des produits chez Red Hat, à CSOonline . Par exemple, si un morceau de code Python est corrigé, le correctif doit être rapidement partagé avec la communauté Python.

Un projet ouvert à d'autres fournisseurs ?

Ce type d'initiative est « absolument nécessaire » si les entreprises veulent sauver l'open source, a souligné David Shipley DG de Beauceron Security. Il ajoute, « si nous ne trouvons pas le moyen d’investir dans l’open source, ce qui réglerait un problème d'équité persistant, l'alternative est que chacun développe son propre code sur mesure à l'aide de l'IA ». Un « gaspillage colossal » d’un point de vue IT et environnemental, selon le dirigeant en espérant que l’initiative d’IBM et Red Hat « incitera les autres à agir ». Pourtant, les grands fournisseurs IT (IBM, Microsoft, Intel, VMware,…) se sont déjà mobilisés pour améliorer la sécurité des projets open source après la découverte de la faille Heartbleed dans OpenSSL. Ils avaient créé Core Infrastructure sous l’égide la Fondation Linux pour analyser et détecter les failles dans les logiciels libres critiques.

Cependant « trouver un bug est une chose, mais l’autre aspect, ce sont toutes les étapes nécessaires pour remédier concrètement au problème. C'est ce délai supplémentaire que nous nous efforçons de combler », note Ashel Badani. Pour lui, l’IA ne peut pas tout résoudre et insiste sur la nécessaire combinaison avec la connaissance et l’expertise humaine. « L'association des deux offre de meilleurs résultats que l'utilisation de l'un ou de l'autre isolément. »