IBM e Red Hat puntano 5 miliardi sull'open source nell'era AI

Una parte enorme dell’infrastruttura digitale mondiale gira su componenti open source mantenuti da team piccoli, spesso distribuiti e con risorse limitate. Parlavamo proprio ieri dell’intervento del principale sviluppatore di curl e della libreria libcurl, traducibile in una sorta di “non ce la facciamo più” che ha registrato, amaramente, come l’industria inizi a finanziare i progetti open source integrati nei sistemi solo quando si presenta un incidente di sicurezza.

IBM e Red Hat hanno annunciato Project Lightwell, un’iniziativa da 5 miliardi di dollari che punta a costruire una struttura centralizzata per la validazione, il coordinamento e la distribuzione di patch di sicurezza destinate al software open source utilizzato nelle grandi aziende. Il progetto coinvolge oltre 20.000 ingegneri e introduce un modello operativo che prova a intervenire lungo tutta la supply chain del software, sempre più bersagliata dagli aggressori.

Linux, Kubernetes, Kafka, Terraform, Cassandra, Flink, librerie Python per l’AI, runtime Java, moduli Node.js: tutto passa da lì. Il problema non riguarda più soltanto la qualità del codice: oggi la velocità con cui gli attaccanti possono individuare vulnerabilità grazie ai modelli AI sta cambiando completamente i tempi della difesa.

Perché IBM e Red Hat puntano a rendere sicuro il software open source

Con Project Lightwell, IBM e Red Hat vogliono creare un livello intermedio tra aziende, maintainer e comunità upstream.

Molte imprese oggi gestiscono migliaia di dipendenze software senza avere una visibilità completa sulle versioni realmente installate. Basta osservare i moderni sistemi basati su Kubernetes, container OCI, microservizi Java e librerie Python per capire il problema: un’applicazione può includere indirettamente centinaia di componenti terzi.

Quando emerge una vulnerabilità critica – come accaduto con Log4Shell nella libreria Log4j o con i problemi di supply chain legati a pacchetti NPM compromessi – il lavoro non consiste solo nell’applicare una patch. Serve capire se la versione vulnerabile è realmente presente, verificare eventuali incompatibilità, rieseguire i test, ricompilare immagini container, aggiornare pipeline CI/CD e validare che il fix non introduca regressioni.

IBM e Red Hat vogliono trasformare queste attività in un servizio coordinato e commercialmente gestito.

Secondo diversi report di settore, oltre il 90% delle aziende Fortune 500 utilizza componenti open source in produzione. Parallelamente, i modelli generativi e gli strumenti di analisi del codice automatizzata hanno ridotto drasticamente il tempo necessario per identificare bug sfruttabili. In un altro articolo spieghiamo proprio perché gli aggressori hanno trasformato l’open source in un’arma globale.

Il problema reale delle dipendenze open source

Le grandi organizzazioni spesso non hanno idea precisa di ciò che eseguono realmente nei propri ambienti.

Un’applicazione enterprise moderna può includere componenti scritti in Go, Java, Rust, Python e JavaScript contemporaneamente. A questo si aggiungono container base image, librerie native, orchestratori, plugin CI/CD e framework AI.

Project Lightwell interviene proprio in questa zona grigia: correla vulnerabilità, configurazioni runtime e dipendenze effettive non limitandosi alla semplice scansione automatica dei pacchetti.

Non a caso, tra le realtà che hanno subito deciso di aderire al progetto di IBM e Red Hat ci sono istituti di credito di primo piano come Bank of America, Citi, Goldman Sachs, JPMorganChase, Morgan Stanley, Visa e Wells Fargo.

Project Glasswing, OpenAI e la nuova corsa alla sicurezza AI

IBM collega esplicitamente Lightwell a iniziative come Project Glasswing di Anthropic e Trust Access for Cyber di OpenAI.

Anthropic lavora da mesi su strumenti di vulnerability discovery automatizzata: si pensi ad esempio a Mythos. OpenAI sta sviluppando programmi destinati ai professionisti della sicurezza offensiva e difensiva. IBM prova a posizionarsi su un livello diverso offrendo una risposta all’abuso dei modelli AI per accelerare reverse engineering, exploit generation e ricerca di vulnerabilità con intenti malevoli.

Per molti (troppi) anni tante aziende hanno considerato il software open source come una risorsa gratuita da integrare rapidamente. Ora la situazione cambia perché l’aumento della superficie d’attacco, la crescita delle dipendenze e la pressione normativa stanno trasformando la manutenzione dei progetti aperti, integrati in software di terze parti, un vero e proprio problema industriale.